code security risk assessment这是一种免费的自助扫描,可帮助你了解组织对代码漏洞的暴露。 评估将扫描多达 20 个组织的存储库,并生成一份报告,显示发现的漏洞、它们的严重性,以及可以使用 Copilot 自动修复 修复的漏洞数量。
评估是完全免费的。 您无需为任何 GitHub Code Security 许可证支付费用,扫描期间使用的 GitHub Actions 分钟数也免费提供。
谁可以进行评估
**组织所有者**和**安全经理**可以在GitHub Team或GitHub Enterprise Cloud计划的组织上运行code security risk assessment。
评估扫描的内容
默认情况下,评估根据过去 90 天内的提交活动预先选择最多 20 个组织的专用存储库和内部存储库。 可以在运行扫描之前更改此选择。 只能选择至少包含一种代码扫描支持的语言的存储库。
扫描程序设定的超时时间是一小时。 如果存储库中的所有语言都无法扫描,该存储库将计为失败。 如果至少一种语言扫描成功,则存储库的结果将包含在报表中。
可以每隔 90 天重新运行评估。 对于每次重新运行,可以更改扫描的存储库。
与secret risk assessment的关系
GitHub 为组织提供两项免费的安全风险评估: code security risk assessment 和 secret risk assessment。 这两个评估独立运行,其结果显示在“评估”视图中的单独选项卡中。 每个评估可以每隔 90 天重新运行一次。
有关 secret risk assessment 的详细信息,请参阅 关于使用 GitHub 的机密安全性。
后续步骤
若要为组织生成一个 code security risk assessment ,请参阅 为您的组织执行代码安全风险评估。