Обзор безопасности содержит аналитические сведения о безопасности кода, хранящегося в репозиториях в организации.
-
**Все организации** на GitHub Team могут использовать бесплатные **secret risk assessment** для оценки воздействия утечки секретов организации, см [. autoTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization). - Учетные записи GitHub Team, которые покупают GitHub Secret Protection or GitHub Code Security имеют доступ к представлениям с дополнительными аналитическими сведениями.
В приведенной ниже информации описываются представления, доступные организациям с GitHub Secret Protection or GitHub Code Security, которые можно использовать для выявления тенденций обнаружения, исправления и предотвращения оповещений системы безопасности и глубокого анализа текущего состояния репозиториев.
Сведения о представлениях
Примечание.
Во всех представлениях отображаются сведения и метрики для ветвей по умолчанию репозиториев, которые у вас есть разрешение на просмотр в организации или предприятии.
Представления интерактивны с фильтрами, которые позволяют подробно просматривать агрегированные данные и определять источники высокого риска, просматривать тенденции безопасности и просматривать влияние анализа запросов на вытягивание при блокировке уязвимостей безопасности в коде. При применении нескольких фильтров для фокусировки на более узких областях интереса все данные и метрики в представлении изменяются, чтобы отразить текущий выбор. Дополнительные сведения см. в разделе Обзор фильтрации оповещений в области безопасности.
В обзоре безопасности можно скачать файлы с разделиющими запятыми (CSV), содержащие данные с нескольких страниц вашей организации или enterprise. Эти файлы можно использовать для таких усилий, как исследования безопасности и подробный анализ данных, а также легко интегрироваться с внешними наборами данных. Дополнительные сведения см. в разделе Экспорт данных из обзора безопасности.
Существуют выделенные представления для каждого типа оповещений системы безопасности. Вы можете ограничить анализ определенным типом оповещений, а затем сузить результаты с помощью диапазона фильтров, относящихся к каждому представлению. Например, в представлении оповещений secret scanning можно использовать фильтр "Тип секрета" для просмотра только Оповещения о сканировании секретов для определенного секрета, например GitHub personal access token.
Примечание.
Общие сведения о безопасности отображают активные оповещения, вызванные функциями безопасности. Если в обзоре безопасности для репозитория нет оповещений, не обнаруженные уязвимости системы безопасности или ошибки кода по-прежнему могут существовать, или компонент может быть не включен для этого репозитория.
Общие сведения о безопасности для организаций
Группа безопасности приложений в вашей компании может использовать различные представления для широкого и конкретного анализа состояния безопасности вашей организации. Например, команда может использовать представление панели мониторинга "Обзор" для отслеживания ландшафта безопасности и прогрессии организации.
Общие сведения о безопасности можно найти на вкладке "Безопасность " для любой организации. В каждом представлении показана сводка данных, к которым у вас есть доступ. При добавлении фильтров все данные и метрики в представлении изменяются, чтобы отразить выбранные репозитории или оповещения.
Обзор безопасности содержит несколько представлений, которые предоставляют различные способы изучения данных включения и оповещения.
-
**Обзор:** визуализация тенденций в**** обнаружении, **исправлении** и **предотвращении** оповещений системы безопасности см. в разделе [AUTOTITLE](/code-security/security-overview/viewing-security-insights). -
**Представления рисков и оповещений:** изучите риск от оповещений системы безопасности всех типов или сосредоточьтесь на одном типе оповещений и определите риск от определенных уязвимых зависимостей, уязвимостей кода или утечки секретов, см [. раздел AUTOTITLE](/code-security/security-overview/assessing-code-security-risk). -
**Охват:** оценка внедрения функций безопасности в репозиториях организации см. в разделе [AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security). -
**Оценки:** независимо от состояния включения функций Advanced Security организации на GitHub Team и GitHub Enterprise могут запускать бесплатный отчет для сканирования кода в организации для утечки секретов, см. в разделе [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment). -
**Кампании:** координация и измерение целевых усилий по исправлению, группирование связанных задач безопасности в репозиториях, назначение владельцев и отслеживание прогресса в направлении определенных целей по сокращению рисков. -
**Тенденции включения:** узнайте, как быстро разные команды принимают функции безопасности. -
**Оповещения запроса на вытягивание CodeQL:** оценка влияния выполнения CodeQL на запросы на вытягивание и разрешение оповещений проверки кода, см. в статье [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts). **Dependabot панели мониторинга**: приоритет и отслеживание критически важных уязвимостей путем выявления, исправления и измерения улучшений безопасности в репозиториях. -
**Secret scanning аналитика:** узнайте, какие типы секретов блокируются push-protection и какие команды обходят защиту от push, см. раздел [AUTOTITLE и [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-secret-scanning-push-protection)](/code-security/security-overview/reviewing-requests-to-bypass-push-protection).
Вы также создаете кампании безопасности и управляете ими для исправления оповещений из обзора безопасности, см. раздел [AUTOTITLE и Создание кампаний безопасности и управление ими](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale).
Общие сведения о безопасности для предприятий
Общие сведения о безопасности можно найти на вкладке "Безопасность " для вашего предприятия. На каждой странице отображаются агрегированные и сведения о безопасности для конкретного репозитория для вашего предприятия.
Как и в обзоре безопасности для организаций, обзор безопасности для предприятий имеет несколько представлений, которые предоставляют различные способы изучения данных.
Обзор доступа к данным в области безопасности
То, что вы видите в обзоре безопасности, зависит от вашей роли и прав в организации или предприятии.
Вообще:
-
**Владельцы организаций и менеджеры по безопасности** могут просматривать данные о безопасности во всех репозиториях своей организации. -
**Члены организации** могут просматривать данные только для репозиториев, где у них есть доступ к оповещениям безопасности. -
**Владельцы предприятий** могут просматривать агрегированные данные о безопасности в обзоре безопасности на уровне предприятия для организаций, где они являются владельцем или менеджером по безопасности. Чтобы видеть детали на уровне репозитория, они должны выполнять соответствующую роль в организации.
Обзор безопасности показывает данные только для репозиториев, которые у вас есть разрешение, и некоторые просмотры или действия могут быть ограничены в зависимости от вашей роли.
Для подробной информации о разрешениях по ролям, включая доступные представления и влияние доступа к репозиториям на видимость, см. Security overview permissions.
Дополнительные материалы
-
[AUTOTITLE](/code-security/getting-started/securing-your-repository) -
[AUTOTITLE](/code-security/securing-your-organization) -
[AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)