Der Sicherheitsüberblick enthält gezielte Ansichten, in denen Sie Trends bei der Erkennung, Behebung und Vorbeugung von Sicherheitsrisiken untersuchen und den aktuellen Status Ihrer Codebasis genauer analysieren können.
Alle Organisationen in GitHub Enterprise können die Sicherheit ihrer Lieferkette mithilfe von Dependabot-Daten in allen Repositorys auswerten.
Außerdem werden Daten zu Advanced Security-Features wie code scanning und secret scanning für Organisationen und Unternehmen angezeigt, die GitHub Advanced Security verwenden. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen und Informationen zu GitHub Advanced Security.
Info zu den Ansichten
Note
Alle Ansichten enthalten Informationen und Metriken für die Standardbranches der Repositorys, die Sie in einer Organisation oder einem Unternehmen anzeigen dürfen.
Die Ansichten sind interaktiv und weisen Filter auf, mit denen Sie die aggregierten Daten detailliert betrachten und Quellen mit hohem Risiko ermitteln sowie Sicherheitstrends erkennen können. Außerdem können Sie damit feststellen, inwieweit die Pull-Request-Analyse verhindert, dass sich Sicherheitsrisiken in Ihren Code einschleichen. Wenn du mehrere Filter anwendest, um die für dich relevanten Bereiche näher einzugrenzen, ändern sich die Daten und Metriken in der Ansicht entsprechend deiner aktuellen Auswahl. Weitere Informationen finden Sie unter Filtern von Warnungen in der Sicherheitsübersicht.
Für jede Art von Sicherheitswarnung gibt es spezielle Ansichten. Sie können die Analyse auf eine bestimmte Art von Warnungen beschränken und die Ergebnisse anschließend mit verschiedenen ansichtsspezifischen Filtern weiter einschränken. Beispielsweise kannst du in der secret scanning-Warnungsansicht den Filter „Geheimnistyp“ verwenden, um nur Warnungen zur Geheimnisüberprüfung für ein bestimmtes Geheimnis anzuzeigen, z. B. ein GitHub personal access token.
Note
Die Sicherheitsübersicht zeigt aktive Warnungen an, die von Sicherheitsfeatures ausgelöst werden. Wenn in der Sicherheitsübersicht für ein Repository keine Warnungen angezeigt werden, sind möglicherweise weiterhin unerkannte Sicherheitsrisiken oder Codefehler vorhanden, oder das Feature ist für dieses Repository möglicherweise nicht aktiviert.
Informationen zur Sicherheitsübersicht für Organisationen
Das Team für die Anwendungssicherheit in deinem Unternehmen kann die verschiedenen Ansichten sowohl für allgemeine als auch für spezifische Analysen des Sicherheitsstatus deiner Organisation nutzen. Beispiel: Das Team kann die Dashboardansicht „Overview“ verwenden, um die Sicherheitslandschaft und den Fortschritt deiner Organisation nachzuverfolgen. Außerdem können Sie in der Sicherheitsübersicht nach einer Gruppe von Repositorys suchen und Sicherheitsfeatures für alle davon gleichzeitig aktivieren oder deaktivieren. Weitere Informationen findest du unter Aktivieren von Sicherheitsfeatures für mehrere Repositorys.
Die Sicherheitsübersicht finden Sie auf der Registerkarte Sicherheit einer Organisation. Jede Ansicht zeigt eine Zusammenfassung der Daten an, auf die du Zugriff hast. Wenn du Filter hinzufügst, ändern sich alle Daten und Metriken in der gesamten Ansicht, um deine ausgewählten Repositorys oder Warnungen widerzuspiegeln. Informationen zu Berechtigungen findest du unter Berechtigung zum Anzeigen von Daten in der Sicherheitsübersicht.
Die Sicherheitsübersicht verfügt über mehrere Ansichten, die unterschiedliche Möglichkeiten zum Untersuchen von Aktivierungs- und Warnungsdaten bieten.
- Übersicht: Informationen zum Visualisieren von Trends bei der Erkennung, Behebung und Vorbeugung von Sicherheitsrisiken findest du unter Einblicke in die Sicherheit anzeigen.
- Risiko- und Warnungsansichten: Erkunde die Risiken im Zusammenhang mit Sicherheitswarnungen aller Typen, oder konzentriere dich auf einen einzelnen Warnungstyp, und ermittle die Risiken im Zusammenhang mit bestimmten anfälligen Abhängigkeiten, Codeschwächen oder Geheimnissen, siehe Bewerten des Sicherheitsrisikos deines Codes.
- Reichweite: Hier kannst du die Annahme von Sicherheitsfeatures in den Repositorys der Organisation auswerten. Weitere Informationen findest du unter Bewerten der Einführung von Sicherheitsfeatures.
- Aktivierungstrends: Zeige an, wie schnell verschiedene Teams Sicherheitsfeatures einführen.
- Geheimnisüberprüfung: Hier kannst du ermitteln, welche Geheimnistypen durch den Pushschutz blockiert werden. Weitere Informationen findest du unter Anzeigen von Metriken für den Pushschutz bei der Geheimnisüberprüfung.
Informationen zur Sicherheitsübersicht für Unternehmen
Die Sicherheitsübersicht findest du auf der Registerkarte Security für dein Unternehmen. Jede Seite zeigt aggregierte und repositoryspezifische Sicherheitsinformationen für dein Unternehmen an.
Genau wie die Sicherheitsübersicht für Organisationen weist die Sicherheitsübersicht für Unternehmen mehrere Ansichten auf, die unterschiedliche Möglichkeiten zum Untersuchen von Daten bieten.
Informationen zu Berechtigungen findest du unter Berechtigung zum Anzeigen von Daten in der Sicherheitsübersicht.
Berechtigung zum Anzeigen von Daten in der Sicherheitsübersicht
Übersicht auf Organisationsebene
Wenn Sie Besitzer oder Sicherheits-Manager für eine Organisation sind, werden Ihnen in allen Ansichten Daten für alle Repositorys in der Organisation angezeigt.
Wenn Sie Mitglied einer Organisation oder eines Teams sind, können Sie die Sicherheitsübersicht für die Organisation einsehen und Daten für Repositorys anzeigen, für die Sie einen entsprechenden Zugriffsumfang haben.
| Mitglied einer Organisation oder eines Teams mit | Anzeige Übersichtsdashboard | Risiko- und Warnungsansichten | Abdeckungsansicht |
|---|---|---|---|
admin-Zugriff für ein oder mehrere Repositorys | Anzeigen von Daten für diese Repositorys | Anzeigen von Daten für diese Repositorys | Sie können Daten für diese Repositorys anzeigen, und Sicherheitsfunktionen aktivieren und deaktivieren |
write-Zugriff für ein oder mehrere Repositorys | Anzeigen von code scanning- und Dependabot-Daten für diese Repositorys | Anzeigen von code scanning- und Dependabot-Daten für diese Repositorys | Kein Zugriff |
read- oder triage-Zugriff für ein oder mehrere Repositorys | Kein Zugriff | Kein Zugriff | Kein Zugriff |
| Zugriff auf Sicherheitswarnungen für mindestens ein Repository | Anzeigen aller Sicherheitswarnungsdaten für diese Repositorys | Anzeigen aller Sicherheitswarnungsdaten für diese Repositorys | Kein Zugriff |
| Benutzerdefinierte Organisationsrolle mit der Berechtigung zum Anzeigen einer oder mehrerer Arten von Sicherheitswarnungen | Anzeigen zulässiger Warnungsdaten für alle Repositorys | Anzeigen zulässiger Warnungsdaten für alle Repositorys in allen Ansichten | Kein Zugriff |
Note
Um Konsistenz und Reaktionsfähigkeit sicherzustellen, zeigen die Seiten der Sicherheitsübersicht auf Organisationsebene nur Ergebnisse aus den zuletzt aktualisierten 3.000 Repositorys an. Wenn Ihre Ergebnisse eingeschränkt wurden, wird oben auf der Seite eine Benachrichtigung angezeigt. Organisationsbesitzer und Sicherheitsmanager sehen Ergebnisse aus allen Repositorys.
Weitere Informationen zum Zugriff auf Sicherheitswarnungen und zugehörige Ansichten findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und Informationen zu benutzerdefinierten Repositoryrollen.
Übersicht auf Organisationssebene
Note
Wenn du ein Unternehmensbesitzer bist, musst du einer Organisation als Organisationsbesitzer beitreten, um die Daten für die Repositorys der Organisation sowohl in der Übersicht auf Organisations- als auch auf Unternehmensebene anzuzeigen. Nur Personen mit Admin-Berechtigungen für das Repository, das ein durchgesickertes Geheimnis enthält, können die Details einer Sicherheitsmeldung und die Token-Metadaten für eine Warnung einsehen. Unternehmensbesitzer können für diesen Zweck temporären Zugriff auf das Repository anfordern. Weitere Informationen findest du unter Verwalten deiner Rolle in einer Organisation, die deinem Unternehmen gehört.
In der Sicherheitsübersicht auf Unternehmensebene können Sie Daten für alle Organisationen einsehen, in denen Sie Organisationsbesitzer oder Sicherheits-Manager sind.