Skip to main content

此版本的 GitHub Enterprise Server 已于以下日期停止服务 2024-09-25. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

关于安全概述

你可以深入了解组织或企业的整体安全状况,并使用安全性概述识别需要干预的存储库。

谁可以使用此功能?

组织

安全概述包含集中视图,可在其中探索检测、修正和预防安全警报的趋势,并深入探讨代码库的当前状态。

  • 显示所有存储库中有关 Dependabot 功能和警报的信息。
  • GitHub Advanced Security 功能(如 code scanning 和 secret scanning)的信息对使用 GitHub Advanced Security。

有关详细信息,请参阅“关于 Dependabot 警报”和“关于 GitHub 高级安全性”。

关于视图

Note

所有视图都显示你有权在组织或企业中查看的存储库的默认分支的信息和指标。

这些视图与筛选器交互,可用于详细查看聚合数据并识别高风险源、查看安全趋势,并查看拉取请求分析对阻止安全漏洞进入代码的影响。 当应用多个筛选器来专注于范围更窄的兴趣区域时,视图中的所有数据和指标会发生变化,以反映当前选择。 有关详细信息,请参阅“筛选安全概述中的警报”。

每种类型的安全警报都有专用视图。 你可以将分析限制为一种特定类型的警报,然后使用特定于每个视图的一系列筛选器进一步缩小结果范围。 例如,在 secret scanning 警报视图中,可以使用“机密类型”筛选器仅查看特定机密(如 GitHub personal access token)的 机密扫描警报。

Note

安全概述显示由安全功能引发的活动警报。 如果存储库的安全概述中未显示警报,则可能仍然存在未检测到的安全漏洞或代码错误,或可能无法为该存储库启用该功能。

关于组织的安全概述

公司的应用程序安全团队可以使用不同的视图对组织的安全状态进行广泛和具体的分析。 例如,在推出 GitHub Advanced Security 时,团队可以使用“覆盖范围”视图来监视整个组织或特定团队对该功能的采用情况,或者使用“风险”视图来识别具有五个以上打开的 机密扫描警报 的存储库。 你还可以使用安全概述来查找一组存储库,并同时为它们启用或禁用安全功能。 有关详细信息,请参阅“为多个存储库启用安全功能”。

可以在任何组织的“安全性”**** 选项卡上找到安全概述。 每个视图都显示你有权访问的数据的摘要。 添加筛选器时,视图中的所有数据和指标都会发生变化,以反映所选的存储库或警报。 有关权限的信息,请参阅“查看安全概述中的数据的权限”。

安全概述具有多个视图,这些视图提供了不同的方法来浏览启用和警报数据。

  • 风险和警报视图: 探索所有类型的安全警报的风险,或专注于单个警报类型,并从特定的易受攻击的依赖项、代码漏洞或泄露的机密中识别风险,请参阅“评估代码安全风险”。
  • 覆盖范围: 评估组织中跨存储库采用代码安全功能的情况,请参阅“评估代码安全功能的采用”。

关于企业的安全概述

可以在企业的“代码安全性”选项卡上找到安全概述。 每个页面都显示了企业的聚合安全信息以及特定于存储库的安全信息。

与组织的安全概述一样,企业安全概述也有多个视图,提供了不同的方法来浏览数据。

有关权限的信息,请参阅“查看安全概述中的数据的权限”。

查看安全概述中的数据的权限

组织级概述

如果你是组织的所有者或安全管理员,你可以在所有视图中看到组织中所有存储库的数据。

如果是组织或团队成员,则可以查看该组织的安全概述,并查看具有适当访问级别的存储库的数据。

组织或团队成员风险和警报视图覆盖范围视图
一个或多个存储库的admin访问权限查看这些存储库的数据查看这些存储库的数据、启用和禁用安全功能
一个或多个存储库的write访问权限查看这些存储库的 code scanning 和 Dependabot 数据无访问权限
一个或多个存储库的 readtriage 访问权限不允许访问不允许访问
一个或多个存储库的安全警报访问权限查看这些存储库的所有安全警报数据无访问权限
有权查看一种或多种类型的安全警报的自定义组织角色查看允许的针对所有视图中所有存储库的警报数据无访问权限

Note

为确保组织成员体验一致且响应迅速,组织级安全概览页面仅显示最近更新的 3,000 个存储库的结果。 如果结果受到限制,页面顶部将显示一条通知。 组织所有者和安全经理将看到所有存储库的结果。

有关安全警报和相关视图的访问权限的详细信息,请参阅“管理存储库的安全和分析设置”和“关于自定义存储库角色”。

企业级概述

Note

如果你是企业所有者,则需要作为组织所有者加入组织,才能在组织级别和企业级别的概览中查看组织存储库的数据。有关详细信息,请参阅“管理企业拥有的组织中的角色”。

在企业级安全概述中,可以查看你作为组织所有者或安全经理的所有组织的数据。 但你无法使用企业级安全概述启用和禁用安全功能。 有关详细信息,请参阅“管理企业的 GitHub Advanced Security 功能”。

延伸阅读