评估安全功能的采用

查看哪些团队和存储库已启用用于安全编码的功能,并确定尚未保护的任何功能。

谁可以使用此功能?

访问需要:

  • 组织视图:对组织中的存储库的写入访问权限
  • 企业视图:组织所有者和安全经理

在本文中

可以使用安全概述来查看哪些仓库和团队已启用每个安全功能,以及在哪些方面需要更多地去鼓励人们去采用这些功能。

组织的“安全”选项卡上“安全范围”视图标题部分的屏幕截图。

注意

只有当 code scanning 自为存储库启用警报以来至少分析了一个拉取请求时,“拉取请求警报”才会报告为已启用。

查看组织中安全功能的启用情况

可以查看数据来评估组织内各个仓库的安全编码功能的启用情况。

  1. 在 GitHub 上,导航到组织的主页面。1. 在组织名称下,单击“ Security”****。

    组织的水平导航栏的屏幕截图。 标有盾牌图标和“安全”字样的选项卡以深橙色轮廓标出。

  2. 若要显示“Security coverage”视图,请在边栏中单击“ Coverage”****。

  3. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅 在安全概述中筛选警报

    • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。 有关详细信息,请参阅“管理团队对组织存储库的访问”。
    • 单击任何功能的标头中的“已启用的编号”或“未启用的编号”,以仅显示已启用或未启用该功能的存储库 。
    • 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。
    • 单击搜索框以向显示的存储库添加更多筛选器。

在仓库列表中,"Dependabot" 下的“已暂停”标签表示 Dependabot updates 已暂停的仓库。 有关非活动条件的信息,请分别参阅 关于 Dependabot 安全更新关于 Dependabot 版本更新 以获取安全性和版本更新。

查看企业中安全编码功能的启用情况

可以查看数据来评估企业中各组织安全功能的启用情况。

  1. 导航至 GitHub Enterprise Cloud。
  2. 在 GitHub 的右上角,单击你的个人资料图片。
  3. 根据环境,单击“ 企业”,或单击“ 企业 ”,然后单击要查看的企业。 1. 在页面顶部,单击“ Security”。
  4. 若要在边栏中显示“安全覆盖范围”视图,请单击“覆盖范围”。
  5. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅 在安全概述中筛选警报

    • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。 有关详细信息,请参阅“管理团队对组织存储库的访问”。

    • 单击任何功能的标头中的“已启用的编号”或“未启用的编号”,以仅显示已启用或未启用该功能的存储库 。

    • 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。

    • 单击搜索框以向显示的存储库添加更多筛选器。

    提示

    可以使用搜索字段中的 owner 筛选器按组织筛选数据。 如果是 具有托管用户的企业 的所有者,则可以使用 owner-type 筛选器按存储库所有者的类型筛选数据,以便可以查看组织拥有的存储库或用户拥有的存储库中的数据。 有关详细信息,请参阅“在安全概述中筛选警报”。

可以查看数据来评估组织的安全功能的启用状态和启用状态趋势。

  1. 在 GitHub 上,导航到组织的主页面。1. 在组织名称下,单击“ Security”****。

    组织的水平导航栏的屏幕截图。 标有盾牌图标和“安全”字样的选项卡以深橙色轮廓标出。

  2. 在边栏中的“Metrics”下,单击“ Enablement trends”****。

  3. 单击“Dependabot”、“Code scanning”或“Secret scanning”选项卡,查看启用趋势以及组织中启用该功能的存储库的百分比。 这些数据显示为图表和详细表格。

  4. 也可使用“启用趋势”视图页面顶部的选项来筛选要查看其启用趋势的存储库组。

    • 使用日期选取器设置要查看其启用趋势的时间范围。

    • 单击搜索框以在显示的实现趋势上添加更多筛选器。 可以应用的筛选器与“概述”仪表板视图的筛选器相同。 有关详细信息,请参阅“在安全概述中筛选警报”。

      组织的“启用趋势”视图的屏幕截图,显示 30 天内的 Dependabot 状态和趋势,并应用了筛选器。

可以查看数据来评估企业中各组织的安全功能的启用状态和启用状态趋势。

  1. 导航至 GitHub Enterprise Cloud。
  2. 在 GitHub 的右上角,单击你的个人资料图片。
  3. 根据环境,单击“ 企业”,或单击“ 企业 ”,然后单击要查看的企业。 1. 在页面顶部,单击“ Security”。
  4. 要显示“启用趋势”视图,请在边栏中单击启用趋势
  5. 单击“Dependabot”、“Code scanning”或“Secret scanning”选项卡,查看启用趋势以及企业中所有组织中启用了该功能的存储库的百分比。 这些数据显示为图表和详细表格。
  6. 也可使用“启用趋势”视图页面顶部的选项来筛选要查看其启用趋势的存储库组。
    • 使用日期选取器设置要查看其启用趋势的时间范围。
    • 单击搜索框以在显示的实现趋势上添加更多筛选器。 有关详细信息,请参阅“在安全概述中筛选警报”。

提示

可以使用搜索字段中的 owner: 筛选器按组织筛选数据。 有关详细信息,请参阅“在安全概述中筛选警报”。

启用数据的操作

查看启用覆盖范围后,请考虑以下操作。

  1. 检查企业是否配置了限制安全功能使用的过度限制性策略。 请参阅“强制实施企业的代码安全性和分析策略”。

  2. 启用应在所有存储库上启用的功能。 有关为整个组织启用功能的详细信息,请参阅 在组织中配置安全功能

    例如,机密扫描警报 和推送保护可降低安全泄漏的风险,无论存储库中存储了什么信息。 如果你看到有存储库尚未使用这些功能,则应启用这些功能,或者与拥有该存储库的团队讨论启用计划。

  3. 对于其他功能,请考虑是否应在更多存储库中启用该功能。 例如,为仅使用不受支持的生态系统或语言的存储库启用 % data variables.product.prodname_dependabot % 是没有意义的。 因此,在有些存储库中不启用这些功能这是正常的。

后续步骤

可以下载“安全覆盖范围”页面上所显示数据的 CSV 文件。 此类数据文件可用于安全研究和深度数据分析等工作,并可以轻松地与外部数据集集成。 请参阅“从安全概览导出数据”。

你可以使用“启用趋势”视图查看 Dependabot、code scanning 或 secret scanning 在仓库或组织中的启用状态及其随时间的趋势。 请参阅 查看组织的启用趋势查看企业启用趋势