评估安全功能的采用

可以使用安全概述来查看哪些团队和仓库已启用安全编码功能,并确定尚未受保护的任何团队和仓库。

谁可以使用此功能?

访问需要:

  • 组织视图:对组织中的存储库的写入访问权限
  • 企业视图:组织所有者和安全经理

具有 GitHub Secret Protection or GitHub Code Security 的 GitHub Team 帐户拥有的组织,或 GitHub Enterprise 帐户拥有的组织

本文内容

关于安全编码功能的采用

可以使用安全概述来查看哪些仓库和团队已启用每个安全功能,以及在哪些方面需要更多地去鼓励人们去采用这些功能。 “安全覆盖范围”视图显示有关组织功能启用的摘要和详细信息。 可以使用“已启用”和“未启用”链接、“Teams”下拉菜单和页眉中的搜索字段筛选该视图,以仅显示部分存储库。

组织的“Security”选项卡上“Security coverage”视图标题部分的屏幕截图。

注意

只有当 code scanning 自为存储库启用警报以来至少分析了一个拉取请求时,“拉取请求警报”才会报告为已启用。

可以下载“安全覆盖范围”页面上所显示数据的 CSV 文件。 此类数据文件可用于安全研究和深度数据分析等工作,并可以轻松地与外部数据集集成。 有关详细信息,请参阅“从安全概览导出数据”。

可以使用“Enablement trends”视图查看组织中仓库的 Dependabot、code scanning 或 secret scanning 的启用状态和随时间变化的启用状态趋势。 对于其中每个功能,您可以查看一个图表,其中显示了启用了该功能的存储库的百分比,以及包含不同时间点启用百分比的详细表格。 有关详细信息,请参阅查看组织的启用趋势查看企业的启用趋势

查看组织中安全功能的启用情况

可以查看数据来评估组织内各个仓库的安全编码功能的启用情况。

  1. 在 GitHub 上,导航到组织的主页面。

  2. 在组织名称下,单击“ 安全性”。

    组织的水平导航栏的屏幕截图。 标有盾牌图标和“安全”字样的选项卡以深橙色轮廓标出。

  3. 若要显示“Security coverage”视图,请在边栏中单击“ Coverage”****。

  4. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅 筛选安全概述中的警报

    • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。 有关详细信息,请参阅“管理团队对组织仓库的访问”。
    • 单击任何功能的标头中的“已启用的编号”或“未启用的编号”,以仅显示已启用或未启用该功能的存储库 。
    • 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。
    • 单击搜索框以向显示的存储库添加更多筛选器。

查看企业中安全编码功能的启用情况

可以查看数据来评估企业中各组织安全功能的启用情况。

  1. 导航至 GitHub Enterprise Cloud。

  2. 在 GitHub 的右上角,单击你的个人资料照片,然后单击“你的企业”****。

  3. 在企业列表中,单击您想要查看的企业。 1. 在页面顶部,单击“ 安全性”。

  4. 若要在边栏中显示“安全覆盖范围”视图,请单击“覆盖范围”。

  5. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅 筛选安全概述中的警报

    • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。 有关详细信息,请参阅“管理团队对组织仓库的访问”。

    • 单击任何功能的标头中的“已启用的编号”或“未启用的编号”,以仅显示已启用或未启用该功能的存储库 。

    • 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。

    • 单击搜索框以向显示的存储库添加更多筛选器。

    提示

    可以使用搜索字段中的 owner 筛选器按组织筛选数据。 有关详细信息,请参阅“筛选安全概述中的警报”。

可以查看数据来评估组织的安全功能的启用状态和启用状态趋势。

  1. 在 GitHub 上,导航到组织的主页面。

  2. 在组织名称下,单击“ 安全性”。

    组织的水平导航栏的屏幕截图。 标有盾牌图标和“安全”字样的选项卡以深橙色轮廓标出。

  3. 在边栏中的“Metrics”下,单击“ Enablement trends”****。

  4. 单击“Dependabot”、“Code scanning”或“Secret scanning”选项卡,查看启用趋势以及组织中启用该功能的存储库的百分比。 这些数据显示为图表和详细表格。

  5. 也可使用“启用趋势”视图页面顶部的选项来筛选要查看其启用趋势的存储库组。

    • 使用日期选取器设置要查看其启用趋势的时间范围。

    • 单击搜索框以在显示的实现趋势上添加更多筛选器。 可以应用的筛选器与“概述”仪表板视图的筛选器相同。 有关详细信息,请参阅“筛选安全概述中的警报”。

      组织的“启用趋势”视图的屏幕截图,显示 30 天内的 Dependabot 状态和趋势,并应用了筛选器。

可以查看数据来评估企业中各组织的安全功能的启用状态和启用状态趋势。

  1. 导航至 GitHub Enterprise Cloud。

  2. 在 GitHub 的右上角,单击你的个人资料照片,然后单击“你的企业”****。

  3. 在企业列表中,单击您想要查看的企业。 1. 在页面顶部,单击“ 安全性”。

  4. 要显示“启用趋势”视图,请在边栏中单击启用趋势

  5. 单击“Dependabot”、“Code scanning”或“Secret scanning”选项卡,查看启用趋势以及企业中所有组织中启用了该功能的存储库的百分比。 这些数据显示为图表和详细表格。

  6. 也可使用“启用趋势”视图页面顶部的选项来筛选要查看其启用趋势的存储库组。

    • 使用日期选取器设置要查看其启用趋势的时间范围。
    • 单击搜索框以在显示的实现趋势上添加更多筛选器。 有关详细信息,请参阅“筛选安全概述中的警报”。

提示

可以使用搜索字段中的 owner: 筛选器按组织筛选数据。 有关详细信息,请参阅“筛选安全概述中的警报”。

解释和操作启用数据

可以且应该在所有仓库上启用某些安全功能。 例如,机密扫描警报 和推送保护可降低安全泄漏的风险,无论存储库中存储了什么信息。 如果你看到有存储库尚未使用这些功能,则应启用这些功能,或者与拥有该存储库的团队讨论启用计划。 有关为整个组织启用功能的详细信息,请参阅 在组织中启用安全功能

其他功能并非适用于所有存储库。 例如,为仅使用不受支持的生态系统或语言的存储库启用 % data variables.product.prodname_dependabot % 是没有意义的。 因此,一些存储库未启用这些功能很正常。

企业可能还配置了相关策略来限制某些安全功能的使用。 有关详细信息,请参阅“强制实施企业的代码安全性和分析策略”。