Informationen zur Sicherheitsübersicht

Anhand der Sicherheitsübersicht können Sie Einblicke in das allgemeine Sicherheitsumfeld Ihrer Organisation oder Ihres Unternehmens erlangen und Repositorys ermitteln, bei denen ein Eingreifen erforderlich ist.

Wer kann dieses Feature verwenden?

Die Sicherheitsübersicht ist für alle Organisationen im Besitz von GitHub Team oder GitHub Enterprise verfügbar, die Secret risk assessment ausgeführt haben.

Weitere Ansichten sind für Unternehmen und ihre Organisationen verfügbar.

Erfahren Sie, wie Sie eine kostenlose vertrauliche Risikobewertung durchführen

In diesem Artikel

Der Sicherheitsüberblick enthält gezielte Ansichten, in denen Sie Trends bei der Erkennung, Behebung und Vorbeugung von Sicherheitsrisiken untersuchen und den aktuellen Status Ihrer Codebasis genauer analysieren können.

Alle Organisationen auf GitHub Enterprise können verwenden: * ** Secret risk assessment ** um die Exposition ihrer Organisation auf geleeckte Geheimnisse zu bewerten, siehe Anzeigen der Risikobewertung von Geheimnissen für deine Organisation. * ** Dependabot ** Daten zur Bewertung der Sicherheit ihrer Lieferkette in allen Repositorys.

Darüber hinaus werden Daten für Advanced Security-Funktionen, wie code scanning und secret scanning, für Organisationen und Unternehmen angezeigt, die GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security verwenden, und für öffentliche Repositorys, siehe Informationen zu Dependabot-Warnungen und Informationen zu GitHub Advanced Security.

Info zu den Ansichten

Hinweis

Alle Ansichten zeigen Informationen und Metriken für die Standard Branches der Repositories an, für die du die Berechtigung hast, sie in einer Organisation oder einem Unternehmen einzusehen.

Die Ansichten sind interaktiv mit Filtern, die dir die Möglichkeit bieten, die aggregierten Daten im Detail zu betrachten und Quellen mit hohem Risiko zu identifizieren, Sicherheitstrends zu erkennen und die Auswirkungen der Pull-Request-Analyse auf die Blockierung von Sicherheitsschwachstellen in deinem Code zu sehen. Wenn du mehrere Filter anwendest, um die für dich relevanten Bereiche näher einzugrenzen, ändern sich die Daten und Metriken in der Ansicht entsprechend deiner aktuellen Auswahl. Weitere Informationen finden Sie unter Filtern von Warnungen in der Sicherheitsübersicht.

          Aus der Sicherheitsübersicht kannst du CSV-Dateien (kommagetrennte Werte) herunterladen, die Daten aus mehreren Seiten deiner Organisation  oder die Sicherheitsübersicht des Unternehmens enthalten. Diese Dateien können für Anstrengungen wie Sicherheitsforschung und eingehende Datenanalyse verwendet werden und können problemlos in externe DataSets integriert werden. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/security-overview/exporting-data-from-security-overview).

Für jede Art von Sicherheitswarnung gibt es eine eigene Ansicht. Du kannst deine Analyse auf eine bestimmte Art von Warnung limitieren und die Ergebnisse mit einer Reihe von Filtern für jede Ansicht weiter eingrenzen. In der Warnungsansicht secret scanning können Sie z. B. den Filter "Geheimer Typ" verwenden, um nur Warnungen zur Geheimnisüberprüfung für einen bestimmten geheimen Schlüssel anzuzeigen, z. B. eine GitHubpersonal access token.

Hinweis

Die Sicherheitsübersicht zeigt aktive Warnungen an, die von Securable Funktionen ausgelöst wurden. Wenn in der Sicherheitsübersicht für ein Repository keine Warnungen angezeigt werden, sind möglicherweise weiterhin unerkannte Sicherheitsrisiken oder Codefehler vorhanden, oder das Feature ist für dieses Repository möglicherweise nicht aktiviert.

Informationen zur Sicherheitsübersicht für Organisationen

Das Team für die Anwendungssicherheit in deinem Unternehmen kann die verschiedenen Ansichten sowohl für allgemeine als auch für spezifische Analysen des Sicherheitsstatus deiner Organisation nutzen. Beispiel: Das Team kann die Dashboardansicht „Overview“ verwenden, um die Sicherheitslandschaft und den Fortschritt deiner Organisation nachzuverfolgen.

Sie finden die Sicherheitsübersicht auf der Security and quality Registerkarte für jede Organisation. Jede Ansicht zeigt eine Zusammenfassung der Daten an, auf die du Zugriff hast. Wenn du Filter hinzufügst, ändern sich alle Daten und Metriken in der gesamten Ansicht, um deine ausgewählten Repositorys oder Warnungen widerzuspiegeln.

Die Sicherheitsübersicht verfügt über mehrere Ansichten, die unterschiedliche Möglichkeiten zum Untersuchen von Aktivierungs- und Warnungsdaten bieten.

  •         **Übersicht: Visualisieren Sie** Trends in **Erkennung**, **Behebung** und **Prävention** von Sicherheitswarnungen. Informationen zum Zugreifen und Verwenden des Dashboards finden Sie unter [AUTOTITLE](/code-security/security-overview/viewing-security-insights). Ausführliche Erläuterungen zu Metriken und Berechnungen finden Sie unter [AUTOTITLE](/code-security/reference/security-at-scale/security-overview-dashboard-metrics).

  •         **Risiko- und Warnungsansichten:** Erkunde die Risiken im Zusammenhang mit Sicherheitswarnungen aller Typen, oder konzentriere dich auf einen einzelnen Warnungstyp, und ermittle die Risiken im Zusammenhang mit bestimmten anfälligen Abhängigkeiten, Codeschwächen oder Geheimnissen, siehe [AUTOTITLE](/code-security/security-overview/assessing-code-security-risk).

  •         **Abdeckung:** Bewerten Sie die Einführung von Sicherheitsfunktionen in den Repositories der Organisation. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security).

  •         **Bewertungen:** Unabhängig vom Aktivierungsstatus der Advanced Security Features können Organisationen auf GitHub Team und GitHub Enterprise einen kostenlosen Bericht ausführen, um den Code in der Organisation nach durchgesickerten Geheimnissen zu scannen, siehe [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment).

  •         **Kampagnen:** Koordinieren und Messen gezielter Abhilfemaßnahmen, Gruppieren verwandter Sicherheitsaufgaben über Repositorys hinweg, Zuweisen von Besitzern und Nachverfolgen des Fortschritts zu definierten Risikominderungszielen.

  •         **Aktivierungstrends:** Sehen Sie sich an, wie schnell verschiedene Teams Sicherheitsfeatures einführen.

  •         **CodeQL-Pullanforderungswarnungen:** Bewerten Sie die Auswirkungen der Ausführung von CodeQL auf Pull-Anfragen und wie Entwicklungsteams Codescan-Warnungen auflösen, siehe [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts).

        **
        Dependabot Dashboard**: Kritische Sicherheitsrisiken priorisieren und verfolgen, indem Sicherheitsverbesserungen repositories-übergreifend identifiziert, behoben und gemessen werden.

  •         **
        Secret scanning Einblicke:** Erfahren Sie, welche Arten von Geheimnissen durch Push-Schutz blockiert werden und welche Teams den Push-Schutz

umgehen, sehen Sie Anzeigen von Metriken für den Pushschutz bei der Geheimnisüberprüfung und Prüfung von Anforderungen zum Umgehen des Push-Schutzes.

Außerdem erstellen und verwalten Sie Sicherheitskampagnen, um Warnungen aus der Sicherheitsübersicht zu beheben, siehe Erstellen und Verwalten von Sicherheitskampagnen und Ausführen einer Sicherheitskampagne zum Beheben von Warnungen im großen Maßstab.

Informationen zur Sicherheitsübersicht für Unternehmen

Sie finden die Sicherheitsübersicht auf der Security and quality Registerkarte für Ihr Unternehmen. Jede Seite zeigt aggregierte und repositoryspezifische Sicherheitsinformationen für dein Unternehmen an.

Die Sicherheitsübersicht für Unternehmen verfügt über mehrere Ansichten, die verschiedene Möglichkeiten zum Untersuchen von Daten bieten, einschließlich eines Übersichtsdashboards, das Warnungstrends visualisiert. Informationen zum Dashboard finden Sie unter Einblicke in die Sicherheit anzeigen und Metriken des Sicherheitsübersichts-Dashboards.

Zugriff auf Daten in der Sicherheitsübersicht

Was Sie in der Sicherheitsübersicht sehen können, hängt von Ihrer Rolle und Berechtigungen in der Organisation oder im Unternehmen ab.

Im Allgemeinen:

  •         **Organisationsbesitzer und Sicherheitsmanager** können Sicherheitsdaten in allen Repositorys in ihrer Organisation anzeigen.

  •         **Organisationsmitglieder** können Daten nur für Repositorys anzeigen, in denen sie Zugriff auf Sicherheitswarnungen haben.

  •         **Unternehmensbesitzer** können aggregierte Sicherheitsdaten in der Sicherheitsübersicht auf Unternehmensebene für Organisationen anzeigen, in denen sie ein Organisationsbesitzer oder Sicherheitsmanager sind. Um Details auf Repositoryebene anzuzeigen, müssen sie über die entsprechende Rolle innerhalb der Organisation verfügen.

Die Sicherheitsübersicht zeigt Daten nur für Repositorys an, die Sie anzeigen dürfen, und einige Ansichten oder Aktionen können basierend auf Ihrer Rolle eingeschränkt werden.

Ausführliche Informationen zu Rollenberechtigungen, einschließlich der verfügbaren Ansichten und der Auswirkungen des Repositoryzugriffs auf die Sichtbarkeit finden Sie unter Sicherheitsübersichtsberechtigungen.

Grundlegendes zur Genauigkeit von Dashboarddaten

Das Übersichtsdashboard zeigt Metriken basierend auf dem aktuellen Status Ihrer Repositorys und dem historischen Status von Sicherheitswarnungen an. Dieses Datenmodell hat wichtige Auswirkungen auf die Datenkonsistenz:

          **Datenänderungen im Laufe der Zeit:** Dashboardmetriken können sich für denselben verlaufsgeschichtlichen Zeitraum ändern, wenn sie zu unterschiedlichen Zeiten angezeigt werden. Dies tritt auf, wenn Repositorys gelöscht werden, Sicherheitsempfehlungen geändert werden oder andere Änderungen sich auf die zugrunde liegenden Daten auswirken. Wenn Sie konsistente Daten für Complianceberichte oder Überwachungszwecke benötigen, verwenden Sie stattdessen das Überwachungsprotokoll. Siehe [AUTOTITLE](/code-security/getting-started/auditing-security-alerts).

          **Warnungsdaten sind historisch. Repositoryattribute sind aktuell:** Das Dashboard verfolgt Sicherheitswarnungen basierend auf ihrem verlaufsbezogenen Zustand während des ausgewählten Zeitraums. Repositoryfilter (z. B. archivierter/aktiver Status) spiegeln jedoch den _aktuellen Status_ von Repositorys wider.

Wenn Sie beispielsweise ein Repository heute archivieren, werden alle geöffneten Warnungen in diesem Repository automatisch geschlossen. Wenn Sie sich das Übersichtsdashboard für die letzte Woche ansehen:

  • Das Repository wird nur angezeigt, wenn Sie filtern, um archivierte Repositorys anzuzeigen (aktueller Status)
  • Die Warnungen aus diesem Repository werden als geöffnet angezeigt (ihr Status in der letzten Woche)

Dieses Design stellt sicher, dass Warnungstrends während des analysierten Zeitraums genau die Sicherheitsaktivität widerspiegeln, während Repositoryfilter Ihnen helfen, sich auf Ihre aktuelle Repositorystruktur zu konzentrieren.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/code-security/securing-your-organization)

  •         [AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)