Оценка риска безопасности кода

Общие сведения о безопасности можно использовать для просмотра групп и репозиториев, затронутых оповещениями системы безопасности, и выявления репозиториев для срочных действий по исправлению.

Кто может использовать эту функцию?

Требуется доступ:

  • Представления организации: доступ на запись к репозиториям в организации
  • Корпоративные представления: владелец организации и менеджеры по безопасности

Организации, принадлежащие учетной записи GitHub Team с GitHub Secret Protection or GitHub Code Security, или принадлежащие учетной записи GitHub Enterprise учетной записи

В этой статье

Изучение рисков безопасности в коде

Вы можете использовать разные виды на вкладке Security and quality , чтобы изучить риски безопасности в вашем коде.

  • Обзор: использование для изучения тенденций обнаружения****, исправления и предотвращения оповещений системы безопасности.
  • Риск: используйте для изучения текущего состояния репозиториев для всех типов оповещений.
  • Оценки: используйте для изучения текущего состояния репозиториев, особенно для секретных утечек
  • Выводы: используйте для изучения code scanning, Dependabotили secret scanning оповещения более подробно.

Эти представления предоставляют данные и фильтры для следующих элементов:

  • Оцените ландшафт риска безопасности кода, хранящегося во всех репозиториях.
  • Определите наиболее высокий уровень уязвимостей для решения.
  • Отслеживайте свой прогресс в устранении потенциальных уязвимостей.
  • Поймите, как на вашу организацию влияют секретные утечки и разоблачения.
  • Экспортируйте текущий выбор данных для дальнейшего анализа и создания отчетов.

Сведения о обзоре** см. в **разделе Просмотр аналитических сведений о безопасности.

Просмотр рисков безопасности на уровне организации в коде

  1. На GitHubперейдите на главную страницу организации.

  2. Под названием вашей организации нажмите вкладку Security and quality .

  3. Чтобы отобразить представление "Риск безопасности", на боковой панели щелкните Risk.

  4. Используйте параметры в сводке страниц, чтобы отфильтровать результаты для отображения репозиториев, которые требуется оценить. Список репозиториев и метрик, отображаемых на странице, автоматически обновляется, чтобы соответствовать текущему выбору. Дополнительные сведения о фильтрации см. в разделе Обзор фильтрации оповещений в области безопасности.

    • Используйте раскрывающийся список Teams, чтобы отобразить сведения только для репозиториев, принадлежащих одной или нескольким командам.
    • Щелкните "ЧИСЛО затронутых " или "ЧИСЛО", не затронутых в заголовке, чтобы отобразить только репозитории с открытыми оповещениями или нет открытых оповещений этого типа.
    • Щелкните любое из описаний "Открыть оповещения" в заголовке, чтобы отобразить только репозитории с оповещениями этого типа и категории. Например, 1 является критически важным для отображения репозитория с критическим оповещением для Dependabot.
    • В верхней части списка репозиториев щелкните NUMBER Archived , чтобы отобразить только архивные репозитории.
    • Щелкните в поле поиска, чтобы добавить дополнительные фильтры в отображаемые репозитории.

    Снимок экрана: представление "Риск безопасности" для организации. Параметры фильтрации описаны в темно-оранжевый цвет.

    Примечание.

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. При необходимости используйте боковую панель слева для изучения оповещений для конкретной функции безопасности более подробно. На каждой странице можно использовать фильтры, относящиеся к этой функции, для уточнения поиска.

  6. По желанию используйте кнопку «Экспорт CSV », чтобы скачать CSV-файл данных, которые сейчас отображаются на странице, для исследования безопасности и глубокого анализа данных. Дополнительные сведения см. в разделе Экспорт данных из обзора безопасности.

Примечание.

В представлениях сводки ("Обзор", "Покрытие" и "Риск") отображаются только данные для оповещений по умолчанию. Secret scanning Оповещения о игнорируемых каталогах и не провайдерских оповещений все отсутствуют в этих видах. Следовательно, отдельные представления оповещений могут включать большее количество открытых и закрытых оповещений.

Просмотр рисков безопасности корпоративного уровня в коде

Данные для оповещений системы безопасности в организациях можно просматривать в организации.

Совет

Фильтр можно использовать owner в поле поиска для фильтрации данных по организации. Дополнительные сведения см. в разделе Обзор фильтрации оповещений в области безопасности.

  1. Перейдите к GitHub Enterprise Cloud.

  2. В правом верхнем углу GitHubщелкните рисунок профиля.

  3. В зависимости от среды щелкните Предприятие или щелкните Предприятия , а затем выберите предприятие, которое требуется просмотреть.

  4. Вверху страницы нажмите на Security and quality вкладку.

  5. Чтобы отобразить просмотр «Риск безопасности» в боковой панели, нажмите Риск.

  6. Используйте параметры в сводке страниц, чтобы отфильтровать результаты для отображения репозиториев, которые требуется оценить. Список репозиториев и метрик, отображаемых на странице, автоматически обновляется, чтобы соответствовать текущему выбору. Дополнительные сведения о фильтрации см. в разделе Обзор фильтрации оповещений в области безопасности.

    • Используйте раскрывающийся список Teams, чтобы отобразить сведения только для репозиториев, принадлежащих одной или нескольким командам.
    • Щелкните "ЧИСЛО затронутых " или "ЧИСЛО", не затронутых в заголовке, чтобы отобразить только репозитории с открытыми оповещениями или нет открытых оповещений этого типа.
    • Щелкните любое из описаний "Открыть оповещения" в заголовке, чтобы отобразить только репозитории с оповещениями этого типа и категории. Например, 1 является критически важным для отображения репозитория с критическим оповещением для Dependabot.
    • В верхней части списка репозиториев щелкните NUMBER Archived , чтобы отобразить только архивные репозитории.
    • Щелкните в поле поиска, чтобы добавить дополнительные фильтры в отображаемые репозитории.

    Снимок экрана: представление "Риск безопасности" для предприятия. Параметры фильтрации описаны в темно-оранжевый цвет.

    Примечание.

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  7. При необходимости используйте боковую панель слева для изучения оповещений для конкретной функции безопасности более подробно. На каждой странице можно использовать фильтры, относящиеся к этой функции, для уточнения поиска.

  8. По желанию используйте кнопку «Экспорт CSV », чтобы скачать CSV-файл данных, которые сейчас отображаются на странице, для исследования безопасности и глубокого анализа данных. Дополнительные сведения см. в разделе Экспорт данных из обзора безопасности.

Примечание.

В представлениях сводки ("Обзор", "Покрытие" и "Риск") отображаются только данные для оповещений по умолчанию. Secret scanning Оповещения о игнорируемых каталогах и не провайдерских оповещений все отсутствуют в этих видах. Следовательно, отдельные представления оповещений могут включать большее количество открытых и закрытых оповещений.

Дальнейшие шаги

Когда вы оценили риски безопасности, вы готовы создать кампанию безопасности для совместной работы с разработчиками для устранения оповещений. Сведения об устранении оповещений системы безопасности в масштабе см. в разделе [AUTOTITLE и Создание кампаний безопасности и управление ими](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale).