解释代码安全风险评估结果

了解你的 code security risk assessment 结果并确定漏洞修正的优先级。

谁可以使用此功能?

组织所有者和安全经理

在本文中

介绍

在本教程中,你将解释 code security risk assessment 结果,并了解如何:

  • 了解仪表板上的风险指标
  • 确定哪些存储库和语言受影响最大
  • 确定修正漏洞的优先级

先决条件

必须生成 code security risk assessment 报表并等待扫描完成。 请参阅“为您的组织执行代码安全风险评估”。

步骤 1:了解仪表板指标

评估完成后,请查看仪表板顶部的关键指标:

  •         **扫描的存储库总数**:已成功从所选存储库中扫描的存储库数。

  •         **找到的漏洞总数**:在所有扫描的存储库中找到的漏洞总数。

  •         **Copilot Autofix**:符合 Copilot 自动修复 条件的漏洞数。 启用 GitHub Code Security 可让你访问 Copilot 自动修复,它可以自动建议修复这些警报。

步骤 2:按语言查看漏洞

按语言图表查看 漏洞 ,了解代码库中哪些语言对总体漏洞计数做出了最大贡献。

如果漏洞集中在特定语言中,则可能表示:

  • 使用中引入常见弱点的特定框架或模式
  • 使用该语言工作的团队可能受益于有针对性的安全编码指南

步骤 3:确定受影响的存储库

存储库扫描 表中,可以看到每个扫描的存储库以及符合 Copilot 自动修复 发现漏洞总数的漏洞比率。

页面顶部 最易受攻击的存储库 指标突出显示了具有最高漏洞计数的存储库。 开始优先考虑修复时,这是个不错的起点。

如果 高比例的存储库 包含漏洞,则这可能表示:

  • 跨团队安全编码实践的普遍差距
  • 需要全组织适用的工具和保护措施,例如 code scanning

如果只有 少数 存储库包含漏洞,则可以将修正工作集中在特定团队或基本代码上。

步骤 4:检查检测到的规则

滚动到 “规则”检测到 的表以查看按规则划分的漏洞明细,包括:

  •         **规则**:检测到的特定安全问题类

  •         **规则严重性**:严重级别(严重、高、中或低)

  •         **不同存储库**:有多少不同的存储库包含此规则冲突

  •         **发现漏洞**:所有存储库中此规则冲突的总计数

默认情况下,该表按漏洞计数进行排序,帮助你识别最普遍的问题。 特别注意在多个存储库中显示的 严重 性或 严重性的规则,因为这些规则表示最大的风险。

步骤 5:确定修正优先级

了解指标后,请根据风险确定修正优先级。

优先级最高的漏洞是 跨多个存储库显示的关键和高严重性规则,因为它们:

  • 如果被利用,则表示最大的潜在影响
  • 存在于团队正在积极处理的代码中

接下来,解决存在较低风险的漏洞,或者需要进行更多努力来修正:

  •         **中等和低严重性问题**,这可能仍然带来风险,但不那么紧迫。

  •         **仅显示在一个存储库中的规则**,这些规则表示有限的曝光

另请查找以下指标,这些指标可能需要在单个修复之外进行更广泛的干预:

  •         **许多受同一规则影响的存储库**:建议可能需要团队培训或更新编码标准的系统模式

  •         **特定语言中的高漏洞计数**:可能指向该语言的框架级问题或缺少扫描工具

后续步骤

如需开始使用 Copilot 自动修复 修复漏洞,请为组织启用 GitHub Code Security 。 您有两个选项:

  • 若要为单个存储库启用 GitHub Code Security ,请单击“已扫描存储库”表中存储库旁边的 “启用 ”。
  • 若要在整个组织中启用 GitHub Code Security ,请单击页面顶部的“ 启用 Code Security ”。 在这里,可以选择是为所有存储库启用它还是为选定的存储库启用它,然后在确认之前查看估计的成本。