评估代码安全风险

可以使用安全概述来查看哪些团队和存储库受到安全警报的影响,并确定需要采取紧急补救措施的存储库。

谁可以使用此功能?

访问需要:

  • 组织视图:对组织中的存储库的写入访问权限
  • 企业视图:组织所有者和安全经理

具有 GitHub Secret Protection or GitHub Code Security 的 GitHub Team 帐户拥有的组织,或 GitHub Enterprise 帐户拥有的组织

在本文中

探索代码中的安全风险

可以使用选项卡上的不同视图 Security and quality 浏览代码中的安全风险。

  •         **概述:** 用于探索安全警报的**检测**、**修正**和**预防**趋势。

  •         **风险:** 用于跨所有警报类型浏览存储库的当前状态。

  •         **评估:** 用于探索存储库的当前状态,专门用于机密泄漏

  •         **警报视图:** 用于更详细地浏览code scanning或Dependabotsecret scanning警报。

这些视图提供了数据和筛选器,以便:

  • 评估存储在所有仓库中的代码的安全风险状况。
  • 确定需要解决的影响最大的漏洞。
  • 监视修正潜在漏洞的进度。
  • 了解组织如何受到机密泄漏和泄露的影响。
  • 导出当前选择的数据以供进一步分析和报告。

有关“概述”的信息,请参阅“AUTOTITLE

查看代码中的组织级别安全风险

  1. 在 GitHub 上,导航到组织的主页面。

  2. 在组织名称下,单击 Security and quality 该选项卡。

  3. 若要在边栏中显示“Security risk”视图,请单击 “Risk”****。

  4. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅 在安全概述中筛选警报

    • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
    • 对于任何功能,单击标头中的“受影响的编号”或“不受影响的编号”,以仅显示具有或不具有该类型的未决警报的存储库。
    • 单击标头中“打开警报”的任何说明,以仅显示具有该类型和类别的警报的存储库。 例如,单击“1 关键”以显示存储库中 Dependabot 的关键警报。
    • 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。
    • 单击搜索框以向显示的存储库添加更多筛选器。

    组织的“安全风险”视图的屏幕截图。 筛选选项用深橙色框出。

    注意

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

           1. (可选)使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上,都可使用特定于相应功能的筛选器来优化搜索。

  5. (可选)使用 导出 CSV”按钮下载页面上当前显示的数据的 CSV 文件,以便进行安全研究和深入数据分析。 有关详细信息,请参阅“从安全概览导出数据”。

注意

摘要视图(“概述”、“覆盖范围”和“风险”)仅显示默认的警报数据。 这些视图中会省略被忽略的目录的 Secret scanning 警报和非提供程序警报。 因此,单个警报视图可能包括大量打开和关闭的警报。

查看代码中的企业级别安全风险

可以查看企业中跨组织的安全警报数据。

提示

可以使用搜索字段中的 owner 筛选器按组织筛选数据。 有关详细信息,请参阅“在安全概述中筛选警报”。

  1. 导航至 GitHub Enterprise Cloud。

  2. 在 GitHub 的右上角,单击你的个人资料图片。

  3. 根据环境,单击“ 企业”,或单击“ 企业 ”,然后单击要查看的企业。

  4.        在页面顶部,单击 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** 该选项卡。

  5. 若要显示“安全风险”视图,请在边栏中单击“ 风险”。

  6. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅 在安全概述中筛选警报

    • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
    • 对于任何功能,单击标头中的“受影响的编号”或“不受影响的编号”,以仅显示具有或不具有该类型的未决警报的存储库。
    • 单击标头中“打开警报”的任何说明,以仅显示具有该类型和类别的警报的存储库。 例如,单击“1 关键”以显示存储库中 Dependabot 的关键警报。
    • 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。
    • 单击搜索框以向显示的存储库添加更多筛选器。

    企业“安全风险”视图的屏幕截图。 筛选选项用深橙色框出。

    注意

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  7. (可选)使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上,都可使用特定于相应功能的筛选器来优化搜索。

  8. (可选)使用“ 导出 CSV ”按钮下载页面上当前显示的数据的 CSV 文件,以便进行安全研究和深入数据分析。 有关详细信息,请参阅“从安全概览导出数据”。

注意

摘要视图(“概述”、“覆盖范围”和“风险”)仅显示默认的警报数据。 这些视图中会省略被忽略的目录的 Secret scanning 警报和非提供程序警报。 因此,单个警报视图可能包括大量打开和关闭的警报。

后续步骤

评估安全风险后,您即可创建一个安全活动,与开发人员协作解决警报。 有关大规模修复安全警报的信息,请参阅 创建和管理安全活动开展安全计划以大规模解决警报问题