Bewerten des Sicherheitsrisikos deines Codes

Mithilfe der Sicherheitsübersicht kannst du ermitteln, welche Teams und Repositorys von Sicherheitswarnungen betroffen sind, und Repositorys für dringende Abhilfemaßnahmen identifizieren.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

  • Organisationsansichten: Schreibzugriff auf Repositorys in der Organisation
  • Enterprise-Ansichten: Organisationsbesitzerinnen und Sicherheitsmanagerinnen

In diesem Artikel

Erkunden von Sicherheitsrisiken in Ihrem Code

Sie können die verschiedenen Ansichten auf Ihrer Registerkarte Sicherheit verwenden, um die Sicherheitsrisiken in Ihrem Code zu erkunden.

  • Übersicht: Hier können Trends bei Erkennung, Wartung und Verhinderung von Sicherheitswarnungen erkundet werden.
  • Risk: Verwende diese Option, um den aktuellen Status der Repositorys für alle Warnungstypen herauszufinden.
  • Warnungsansichten: Hier können die Warnungen code scanning, Dependabot, oder secret scanning genauer erkundet werden.

Diese Ansichten bieten Ihnen Daten und Filter, um folgendes zu tun:

  • Bewerte das Sicherheitsrisiko von Code, der in allen Repositorys gespeichert ist.
  • Identifizieren Sie die Sicherheitsrisiken mit den größten Auswirkungen, um Sie zu beheben.
  • Überwachen den Fortschritt bei der Behebung potenzieller Sicherheitsrisiken.

Informationen zur Seite Overview findest du unter Einblicke in die Sicherheit anzeigen.

Anzeigen von Sicherheitsrisiken im Code auf Organisationsebene

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Um die Ansicht „Sicherheitsrisiko“anzuzeigen, klicke in der Randleiste auf -Risiko.

  4. Verwende die Optionen in der Seitenzusammenfassung, um Ergebnisse zu filtern, um die Repositorys anzuzeigen, die du bewerten möchtest. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören.
    • Klicke im Header beliebiger Features auf ANZAHL betroffen oder ANZAHL nicht betroffen, um nur Repositorys mit offenen oder ohne offene Warnungen dieses Typs anzuzeigen.
    • Klicke im Header auf eine der Beschreibungen von „Offene Warnungen“, um nur Repositorys mit Warnungen dieses Typs und dieser Kategorie anzuzeigen. 1 kritisch zeigt z. B. nur das Repository mit einer kritischen Warnung für Dependabot an.
    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.
    • Klicke in das Suchfeld, um den angezeigten Repositorys weitere Filter hinzuzufügen.

    Screenshot: Ansicht „Sicherheitsrisiko“ für eine Organisation. Die Filteroptionen sind dunkelorange umrandet.

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. Du kannst auch die Randleiste auf der linken Seite verwenden, um Warnungen für ein bestimmtes Sicherheitsfeature ausführlicher zu untersuchen. Auf jeder Seite kannst du für das betreffende Feature spezifische Filter verwenden, um deine Suche zu optimieren. Weitere Informationen zu den verfügbaren Qualifizierern findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

Note

Auf den Zusammenfassungsansichten „Overview“, „Coverage“ und „Risk“ werden ausschließlich Daten für Warnungen mit hoher Zuverlässigkeit angezeigt. Secret scanning-Warnungen für ignorierte Verzeichnisse und Nicht-Anbieter-Warnungen werden aus diesen Ansichten ausgeschlossen. Folglich können die einzelnen Warnungsansichten eine größere Anzahl offener und geschlossener Warnungen enthalten.

Anzeigen von Sicherheitsrisiken im Code auf Unternehmensebene

Du kannst Daten für Sicherheitswarnungen organisationsübergreifend in einem Unternehmen anzeigen.

Tip

Sie können den Filter owner im Suchfeld verwenden, um die Daten nach Organisation zu filtern. Weitere Informationen findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

  1. Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.

    Screenshot des Dropdownmenüs, das angezeigt wird, wenn du in GitHub Enterprise Server auf das Profilfoto klickst. Die Option „Enterprise settings“ ist hervorgehoben.
    1. Klicke links auf der Seite auf der Randleiste für das Enterprise-Konto auf Code Security.

  2. Um die Ansicht „Sicherheitsrisiko“anzuzeigen, klicke in der Randleiste auf -Risiko.

  3. Verwende die Optionen in der Seitenzusammenfassung, um Ergebnisse zu filtern, um die Repositorys anzuzeigen, die du bewerten möchtest. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören.
    • Klicke im Header beliebiger Features auf ANZAHL betroffen oder ANZAHL nicht betroffen, um nur Repositorys mit offenen oder ohne offene Warnungen dieses Typs anzuzeigen.
    • Klicke im Header auf eine der Beschreibungen von „Offene Warnungen“, um nur Repositorys mit Warnungen dieses Typs und dieser Kategorie anzuzeigen. 1 kritisch zeigt z. B. nur das Repository mit einer kritischen Warnung für Dependabot an.
    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.
    • Klicke in das Suchfeld, um den angezeigten Repositorys weitere Filter hinzuzufügen.

    Screenshot: Ansicht „Sicherheitsrisiko“ für ein Unternehmen. Die Filteroptionen sind dunkelorange umrandet.

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  4. Du kannst auch die Randleiste auf der linken Seite verwenden, um Warnungen für ein bestimmtes Sicherheitsfeature ausführlicher zu untersuchen. Auf jeder Seite kannst du für das betreffende Feature spezifische Filter verwenden, um deine Suche zu optimieren. Weitere Informationen zu den verfügbaren Qualifizierern findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

Note

Auf den Zusammenfassungsansichten „Overview“, „Coverage“ und „Risk“ werden ausschließlich Daten für Warnungen mit hoher Zuverlässigkeit angezeigt. Secret scanning-Warnungen für ignorierte Verzeichnisse und Nicht-Anbieter-Warnungen werden aus diesen Ansichten ausgeschlossen. Folglich können die einzelnen Warnungsansichten eine größere Anzahl offener und geschlossener Warnungen enthalten.