此版本的 GitHub Enterprise Server 已于以下日期停止服务 2026-03-17. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

关于安全概述

你可以深入了解组织或企业的整体安全状况,并使用安全性概述识别需要干预的存储库。

谁可以使用此功能?

对于所有由 GitHub Team 或 GitHub Enterprise 拥有且已运行 Secret risk assessment 的组织,均可使用安全概览。

对于组织,有额外的视图可用。

在本文中

安全概述包含集中视图,可在其中探索检测、修正和预防安全警报的趋势,并深入探讨代码库的当前状态。

使用 GitHub Enterprise 的所有组织都可以使用 Dependabot 数据来评估其供应链在所有存储库中的安全性。

此外,Advanced Security 功能(如 code scanning 和 secret scanning)的数据对使用 GitHub Advanced Security 的组织和企业,请参阅 AUTOTITLE关于 Dependabot 警报

关于视图

注意

所有视图都显示你有权在组织或企业中查看的存储库的默认分支的信息和指标。

这些视图与筛选器交互,通过筛选器,你可以详细查看聚合数据并识别高风险源、查看安全趋势,并了解拉取请求分析对阻止安全漏洞进入代码的影响。 当应用多个筛选器来专注于范围更窄的兴趣区域时,视图中的所有数据和指标会发生变化,以反映当前选择。 有关详细信息,请参阅“在安全概述中筛选警报”。

每种类型的安全警报都有专用视图。 你可以将分析限制为一种特定类型的警报,然后使用特定于每个视图的一系列筛选器进一步缩小结果范围。 例如,在 secret scanning 警报视图中,可以使用“机密类型”筛选器仅查看特定机密(如 GitHub personal access token)的 机密扫描警报。

注意

安全概览显示由安全功能引发的活动警报。 如果存储库的安全概述中未显示警报,则可能仍然存在未检测到的安全漏洞或代码错误,或可能无法为该存储库启用该功能。

关于组织的安全概述

公司的应用程序安全团队可以使用不同的视图对组织的安全状态进行广泛和具体的分析。 例如,团队可以使用“概述”仪表板视图来跟踪组织的安全状况和进展。

你可以在任何组织的安全性选项卡上找到安全概览。 每个视图都显示你有权访问的数据的摘要。 添加筛选器时,视图中的所有数据和指标都会发生变化,以反映所选的存储库或警报。

安全概述具有多个视图,这些视图提供了不同的方法来浏览启用和警报数据。

  •         **概述:** 可视化 **检测**、 **修正**和 **预防** 安全警报的趋势。 有关访问和使用仪表板的信息,请参阅 [AUTOTITLE](/code-security/security-overview/viewing-security-insights)。 有关指标和计算的详细说明,请参阅 [AUTOTITLE](/code-security/reference/security-at-scale/security-overview-dashboard-metrics)。

  •         **风险和警报视图:** 探索所有类型的安全警报中的风险,或专注于单个警报类型,并从特定的易受攻击的依赖项、代码漏洞或泄露的机密中识别风险,请参阅 [AUTOTITLE](/code-security/security-overview/assessing-code-security-risk)。

  •         **覆盖范围:** 评估组织中各存储库的安全功能采用情况,请参阅 [AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security)。

  •         **启用趋势:** 了解不同团队采用安全功能的速度。

  •         **CodeQL 拉取请求警报:** 评估在拉取请求上运行 CodeQL 的影响以及开发团队如何解决代码扫描警报,请参阅 [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts).

  •         **Secret scanning 见解:** 了解推送保护阻止了哪些类型的机密,请参阅 [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-secret-scanning-push-protection)。

关于企业的安全概述

可以在企业的“Security”选项卡上找到安全概览****。 每个页面都显示了企业的聚合安全信息以及特定于存储库的安全信息。

企业的安全概述具有多种视图,这些视图提供了不同的数据浏览方式,包括可视化警报趋势的概述仪表板。 有关仪表板的信息,请参阅 查看安全洞察安全概述仪表板指标

安全数据访问概述

在安全概述中看到的内容取决于组织或企业中的角色和权限。

一般而言:

  •         **组织所有者和安全经理** 可以查看组织中所有存储库的安全数据。

  •         **组织成员** 只能查看有权访问安全警报的存储库的数据。
  • 对于组织所有者或安全经理,企业所有者可以在企业级安全概述中查看聚合的安全数据。 若要查看存储库级别的详细信息,必须在组织内具有适当的角色。

安全概述仅显示你有权查看的存储库的数据,某些视图或作可能会根据角色受到限制。

有关详细、按角色的权限信息(包括哪些视图可用以及存储库访问如何影响可见性),请参阅 安全概述权限

了解仪表板数据准确性

概述仪表板根据存储库的当前状态和安全警报的历史状态显示指标。 此数据模型对数据一致性具有重要影响:

          **随时间变化的数据:** 当在不同时间查看时,仪表板的指标可能会在同一历史时间段内发生变化。 删除存储库、修改安全公告或其他更改会影响基础数据时,将发生这种情况。 如果需要符合性报告或审核目的的一致数据,请改用审核日志。 请参阅“[AUTOTITLE](/code-security/getting-started/auditing-security-alerts)”。

          **警报数据是历史数据;存储库属性是最新的:** 仪表板根据所选时间段内的历史状态跟踪安全警报。 但是,存储库筛选器(如存档/活动状态)反映了存储库的 _当前状态_ 。

例如,如果今天存档存储库,该存储库中的任何打开警报都会自动关闭。 如果随后查看上周的概述仪表板:

  • 仅当筛选以显示存档存储库时,才会显示存储库(其当前状态)
  • 该存储库中的警报显示为打开状态(上周的状态)

此设计可确保警报趋势准确反映正在分析的时间段内的安全活动,而存储库筛选器可帮助你专注于当前的存储库结构。

延伸阅读

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-enterprise-security/establish-complete-coverage)

  •         [AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)