Einblicke in die Sicherheit anzeigen

Sie können das Übersichts-Dashboard in der Sicherheitsübersicht verwenden, um die Sicherheitslandschaft der Repositorys in Ihrer Organisation oder Ihrem Unternehmen zu überwachen.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

  • Organisationsansichten: Schreibzugriff auf Repositorys in der Organisation
  • Enterprise-Ansichten: Organisationsbesitzerinnen und Sicherheitsmanagerinnen

In diesem Artikel

-Informationen zu Sicherheitseinblicken

Die Übersichtsseite in der Sicherheitsübersicht ist ein konsolidiertes Dashboard mit Einblicken in die Sicherheitslandschaft und den Fortschritt Ihrer Organisation oder Ihres Unternehmens. Sie können das Dashboard verwenden, um den Status Ihres Anwendungssicherheitsprogramms zu überwachen, mit Entwicklungsteams zusammenzuarbeiten und Daten für Benchmarking-Zwecke aufzunehmen.

Sowohl die Sicherheitsübersichten auf Unternehmens- als auch auf Organisationsebene verfügen über ein Dashboard. Standardmäßig zeigt das Dashboard auf Unternehmensebene Metriken für alle Repositorys in Ihrem Unternehmen an. Sie können die im Dashboard auf Unternehmensebene angezeigten Daten nach Besitzer (z. B. nach Organisation) filtern. Standardmäßig zeigt das Dashboard auf Organisationsebene Metriken für alle Repositorys an, die im Besitz Ihrer Organisation sind. Beide Dashboards ermöglichen es Ihnen auch, nach Repository zu filtern.

Sie können eine Vielzahl von Metriken zu den Sicherheitswarnungen in Ihrer Organisation anzeigen oder enterprise. Das Dashboard zeigt Trenddaten an, die die Anzahl und Aktivität von Warnungen im Laufe der Zeit nachverfolgt, sowie Momentaufnahme-Daten, die den aktuellen Zustand widerspiegeln.

Das Dashboard ist in drei Registerkarten unterteilt, die jeweils auf ein anderes Sicherheitsziel ausgerichtet sind:

  • Erkennung: Auf dieser Registerkarte werden Metriken zum Status und Alter von Warnungen in Ihrer Organisation oder in Ihrem Unternehmen, die geheimen Schlüssel, die blockiert oder überbrückt wurden, sowie die wichtigsten Repositorys und Schwachstellen, die das höchste potenzielle Sicherheitsrisiko darstellen, angezeigt.
  • Wartung: Auf dieser Registerkarte werden Metriken darüber angezeigt, wie Warnungen im Laufe der Zeit aufgelöst und Warnungsaktivitäten behoben werden.
  • Prävention: Auf dieser Registerkarte werden Metriken zum Verhindern und Beheben von Sicherheitsrisiken angezeigt.

Note

Anders als bei den Registerkarten Erkennung und Wartung, die Warnungen auf der Standardbranch melden, erhalten Sie auf der Registerkarte Prävention Einblicke in CodeQL-Warnungen, die in zusammengeführten Pull Requests zu finden sind.

Sie können das Übersichtsdashboard filtern, indem Sie einen bestimmten Zeitraum auswählen und zusätzliche Filter anwenden, um sich auf engere Interessenbereiche zu konzentrieren. Alle Daten und Metriken im gesamten Dashboard werden beim Anwenden von Filtern geändert. Standardmäßig zeigt das Dashboard alle Warnungen von GitHub-Tools an, aber du kannst den Toolfilter verwenden, um Warnungen von einem bestimmten Tool (secret scanning, Dependabot, code scanning unter Verwendung von CodeQL, einem bestimmten Drittanbietertool) oder alle code scanning-Tools von Drittanbietern anzuzeigen. Weitere Informationen finden Sie unter Filtern von Warnungen in der Sicherheitsübersicht.

Mitglieder des Unternehmens können auf die Übersichtsseite für Organisationen in ihrem Unternehmen zugreifen. Welche Metriken angezeigt werden, hängt von Ihren Rollen- und Repositoryberechtigungen ab. Weitere Informationen finden Sie unter Informationen zur Sicherheitsübersicht.

Einschränkungen

Die Daten, die die Übersicht auffüllen, können sich aufgrund verschiedener Faktoren, z. B. Löschen von Repository oder Änderungen an einer Sicherheitsempfehlung, im Laufe der Zeit ändern. Dies bedeutet, dass die Übersichtsmetriken für den gleichen Zeitraum variieren können, wenn sie zu zwei verschiedenen Zeiten angezeigt werden. Für Kompatibilitätsberichte oder andere Szenarien, in denen die Datenkonsistenz von entscheidender Bedeutung ist, empfehlen wir, Daten aus dem Überwachungsprotokoll zu erstellen. Weitere Informationen finden Sie unter Prüfen von Sicherheitswarnungen.

Beachten Sie, dass die Übersicht Änderungen im Laufe der Zeit nur für Sicherheitswarnungsdaten nachverfolgt. Wenn Sie die Seite nach Nicht-Warnungsattributen filtern, z. B. nach Repository-Status, spiegeln die angezeigten Daten den aktuellen Status dieser Attribute anstelle des historischen Zustands wider. Denken Sie beispielsweise daran, dass Sie ein Repository archiviert haben, das offene Sicherheitswarnungen enthält, eine Aktion, die die Warnungen schließt. Wenn Sie dann die Übersicht für die Woche anzeigen, bevor Sie das Repository archiviert haben, werden die Warnungsdaten für das Repository nur angezeigt, wenn Sie filtern, um Daten aus archivierten Repositorys anzuzeigen, da der aktuelle Status des Repositorys archiviert wird. Die Warnungen werden jedoch als geöffnet angezeigt, da sie während dieses Zeitraums geöffnet waren, und die Übersicht verfolgt den historischen Status von Warnungen.

Note

Auf den Zusammenfassungsansichten „Overview“, „Coverage“ und „Risk“ werden ausschließlich Daten für Standardwarnungen angezeigt. Secret scanning-Warnungen für ignorierte Verzeichnisse und Nicht-Anbieter-Warnungen werden aus diesen Ansichten ausgeschlossen. Folglich können die einzelnen Warnungsansichten eine größere Anzahl offener und geschlossener Warnungen enthalten.

Anzeigen des Sicherheitsübersichtsdashboards für Ihre Organisation

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Die Übersicht ist die primäre Ansicht, die nach dem Klicken auf die Registerkarte „Sicherheit“ angezeigt wird. Um von einer anderen Sicherheitsübersicht-Seite zum Dashboard zu gelangen, klicken Sie in der Randleiste auf Übersicht.

  4. Die Registerkarte Erkennung wird standardmäßig angezeigt. Wenn Sie zu einer anderen Registerkarte wechseln möchten, um andere Metriken anzuzeigen, klicken Sie auf Wartung oder Prävention. 1. Verwenden Sie die Optionen oben auf der Übersicht, um die Gruppe der Warnungen zu filtern, für die Metriken angezeigt werden sollen. Alle Daten und Metriken auf der Seite werden geändert, wenn Sie die Filter anpassen.

    • Verwenden Sie die Datumsauswahl, um die Zeitspanne festzulegen, für die Sie Warnungsaktivitäten und Metriken anzeigen möchten.
    • Klicken Sie in das Suchfeld, um den angezeigten Warnungen und Metriken weitere Filter hinzuzufügen.

    Screenshot der Übersichtsseite in der Sicherheitsübersicht. Die Filteroptionen sind dunkelorange umrandet, einschließlich der Datumsauswahl und des Suchfelds.

Anzeigen der Sicherheitsübersicht für Ihr Unternehmen

  1. Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.

    Screenshot des Dropdownmenüs, das angezeigt wird, wenn du in GitHub Enterprise Server auf das Profilfoto klickst. Die Option „Enterprise settings“ ist hervorgehoben.
    1. Klicke links auf der Seite auf der Randleiste für das Enterprise-Konto auf Code Security.

  2. Die Registerkarte Erkennung wird standardmäßig angezeigt. Wenn Sie zu einer anderen Registerkarte wechseln möchten, um andere Metriken anzuzeigen, klicken Sie auf Wartung oder Prävention. 1. Verwenden Sie die Optionen oben auf der Übersicht, um die Gruppe der Warnungen zu filtern, für die Metriken angezeigt werden sollen. Alle Daten und Metriken auf der Seite werden geändert, wenn Sie die Filter anpassen.

    • Verwenden Sie die Datumsauswahl, um die Zeitspanne festzulegen, für die Sie Warnungsaktivitäten und Metriken anzeigen möchten.
    • Klicken Sie in das Suchfeld, um den angezeigten Warnungen und Metriken weitere Filter hinzuzufügen.

    Screenshot der Übersichtsseite in der Sicherheitsübersicht. Die Filteroptionen sind dunkelorange umrandet, einschließlich der Datumsauswahl und des Suchfelds.

Tip

Sie können den Filter owner im Suchfeld verwenden, um die Daten nach Organisation zu filtern. Weitere Informationen findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

Verstehen des Übersichtsdashboards

Einige Metriken im Dashboard für die Sicherheitsübersicht enthalten einen Trendindikator, der den prozentsatzbezogenen Gewinn oder Verlust für den ausgewählten Zeitraum relativ zum vorherigen Zeitraum anzeigt. Wenn Sie beispielsweise eine Woche mit 10 Warnungen auswählen, wenn die vorherige Woche 20 Warnungen enthält, meldet der Trendindikator, dass die Metrik um 50 % gesunken ist. Wenn das durchschnittliche Alter der offenen Warnungen 15 Tage beträgt und für den vorherigen Zeitraum 5 Tage betrug, meldet der Trendindikator, dass die Metrik um 200 % gestiegen ist.

Note

Die Anzahl der Warnungen, die im Dashboard für die Sicherheitsübersicht angezeigt werden, stimmt möglicherweise nicht mit der Anzahl der code scanning-Warnungen überein. Das Dashboard zur Sicherheitsübersicht konzentriert sich auf die Sicherheitslandschaft Ihrer Organisation und enthält nur Warnungen mit einem Sicherheitsschweregrad („Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“), aber CodeQL und Tools von Drittanbietern können separat nicht sicherheitsbezogene Warnungen der Ebene „Fehler“, „Warnung“ oder „Hinweis“ erzeugen. Weitere Informationen zu Warnungsschweregraden und Sicherheitsschweregraden in code scanning findest du unter Informationen zu Codeüberprüfungswarnungen.

Registerkarte Erkennung

Offene Warnungen im Zeitverlauf

Das Diagramm „Offene Warnungen im Zeitverlauf“ zeigt die Änderung der Anzahl offener Warnungen in Ihrer Organisation oder in Ihrem Unternehmen in dem von Ihnen ausgewählten Zeitraum. Warnungen werden standardmäßig nach Schweregrad gruppiert. Sie können die Art der Gruppierung von Warnungen ändern.

Offene Warnungen umfassen sowohl neu erstellte als auch vorhandene offene Sicherheitswarnungen. Neue Warnungen werden am Erstellungsdatum dargestellt, während Warnungen, die vor dem ausgewählten Zeitraum vorhanden waren, zu Beginn des Zeitraums dargestellt werden. Sobald eine Warnung behoben oder geschlossen wurde, ist sie nicht im Diagramm enthalten. Stattdessen wird die Warnung in das Diagramm für geschlossene Warnungen verschoben.

Fälligkeit von Warnungen

Die Metrik „Fälligkeit der Warnungen“ ist die durchschnittliche Fälligkeit aller Warnungen, die am Ende des ausgewählten Zeitraums noch geöffnet sind.

Die Fälligkeit jeder geöffneten Warnung wird berechnet, indem das Datum subtrahiert wird, an dem die Warnung erstellt wurde, ab dem Datum, an dem der ausgewählte Zeitraum endet. Bei erneut geöffneten Warnungen wird die Fälligkeit berechnet, indem das ursprüngliche Erstellungsdatum subtrahiert wird und nicht das Datum, an dem die Warnung erneut geöffnet wurde.

Erneut geöffnete Warnungen

Die Metrik „Erneut geöffnete Warnungen“ ist die Gesamtzahl der geöffneten Warnungen, die während des ausgewählten Zeitraums erneut geöffnet wurden. Es werden nur Warnungen gemeldet, die am Ende des Berichtszeitraums geöffnet sind. Dies umfasst:

  • Warnungen, die am Tag vor dem gewählten Zeitraum geschlossen wurden und die am Ende des Zeitraums wieder geöffnet sind Standard.
  • Neu erstellte Warnungen, die geschlossen und dann während des ausgewählten Zeitraums erneut geöffnet wurden.
  • Warnungen, die zu Beginn des ausgewählten Zeitraums geöffnet waren, aber geschlossen und dann innerhalb desselben Zeitraums erneut geöffnet wurden.

Geheime Schlüssel überbrückt oder blockiert

Die Metrik „Geheime Schlüssel überbrückt“ zeigt das Verhältnis von geheimen Schlüsseln, die mit dem Push-Schutz blockiert wurden.

Sie können auch sehen, wie viele geheime Schlüssel erfolgreich blockiert wurden. Dies wird berechnet, indem die Anzahl der überbrückten geheimen Schlüssel von der Gesamtzahl der durch den Push-Schutz blockierten geheimen Schlüssel subtrahiert wird. Ein geheimer Schlüssel gilt als erfolgreich blockiert, wenn er korrigiert wurde und nicht für das Repository festgelegt wurde.

Sie können auf Details anzeigen klicken, um densecret scanning-Bericht mit den gleichen Filtern und dem ausgewählten Zeitraum anzuzeigen.

Weitere Informationen zu den Pushschutz-Metriken von secret scanning findest du unter Anzeigen von Metriken für den Pushschutz bei der Geheimnisüberprüfung.

Auswirkungsanalysetabelle

Die Auswirkungsanalysetabelle enthält die folgenden Registerkarten: „Repositories“, „Advisories“ und „SAST vulnerabilities“.

  • Die Registerkarte „Repositorys“ zeigt die 10 Repositorys mit den meisten offenen Warnungen am Ende des gewählten Zeitraums, sortiert nach der Gesamtzahl der offenen Warnungen. Für jedes Repository wird die Gesamtanzahl der geöffneten Warnungen zusammen mit einer Aufschlüsselung nach Schweregrad angezeigt.

  • Auf der Registerkarte „Empfehlungen“ werden die 10 CVE-Empfehlungen angezeigt, die die meistenDependabot-Warnungen am Ende des ausgewählten Zeitraums ausgelöst haben und nach der Gesamtzahl der geöffneten Warnungen bewertet wurden. Für jeden Hinweis wird die Gesamtzahl der offenen Warnungen zusammen mit einer Schweregradbewertung angezeigt.

  • Auf der Registerkarte „SAST vulnerabilities“ werden die 10 SAST-Sicherheitsrisiken (Static Application Security Testing, statische Anwendungssicherheitstests) gezeigt, die die meisten code scanning-Warnungen ausgelöst haben. Diese Risiken werden nach der Gesamtzahl der offenen Warnungen sortiert. Für jedes Sicherheitsrisiko wird die Gesamtzahl der offenen Warnungen zusammen mit einem Schweregrad angezeigt.

Registerkarte Wartung

Geschlossene Warnungen im Zeitverlauf

Das Diagramm „Geschlossene Warnungen im Zeitverlauf“ zeigt die Änderung der Anzahl geschlossener Warnungen in Ihrer Organisation oder in Ihrem Unternehmen in dem von Ihnen ausgewählten Zeitraum. Warnungen werden standardmäßig nach Schweregrad gruppiert. Sie können die Art der Gruppierung von Warnungen ändern.

Geschlossene Warnungen umfassen Sicherheitswarnungen, die vor oder während des ausgewählten Zeitraums erfolgreich behoben oder geschlossen wurden. Warnungen, die während des Zeitraums geschlossen wurden, werden auf dem Diagramm am Abschlussdatum dargestellt, während Warnungen, die vor dem ausgewählten Zeitraum behoben oder geschlossen wurden, zu Beginn des Zeitraums dargestellt werden.

Durchschnittliche Korrekturzeit

Die Metrik „Durchschnittliche Korrekturzeit“ ist die durchschnittliche Fälligkeit aller Warnungen, die im ausgewählten Zeitraum korrigiert oder geschlossen wurden. Warnungen, die als „falsch positiv“ geschlossen wurden, werden ausgeschlossen.

Das Alter jedes geschlossenen Alarms wird berechnet, indem das Datum, an dem der Alarm erstellt wurde, von dem Datum subtrahiert wird, an dem der Alarm innerhalb des gewählten Zeitraums zuletzt geschlossen wurde. Bei erneut geöffneten Warnungen wird die Fälligkeit berechnet, indem das ursprüngliche Erstellungsdatum subtrahiert wird und nicht das Datum, an dem die Warnung erneut geöffnet wurde.

Netto-Auflösungsrate

Die Metrik „Netto-Auflösungsrate“ ist die Rate, mit der Warnungen geschlossen werden. Diese Metrik ähnelt der Messung der „Entwicklergeschwindigkeit“, die die Geschwindigkeit und Effizienz widerspiegelt, mit der Warnungen aufgelöst werden.

Die Rate wird berechnet, indem die Anzahl der Warnungen dividiert wird, die während des ausgewählten Zeitraums geschlossen wurden und geschlossen blieben, durch die Anzahl der Warnungen, die während des Zeitraums erstellt wurden.

Note

Die Netto-Auflösungsrate berücksichtigt alle neuen und geschlossenen Warnungen während des gewählten Zeitraums. Dies bedeutet, dass der Satz neuer Warnungen und der Satz geschlossener Warnungen, die für die Berechnung verwendet werden, nicht notwendigerweise übereinstimmen, da sie unterschiedliche Populationen von Warnungen darstellen können.

Warnungen, die während des ausgewählten Zeitraums erneut geöffnet und erneut geschlossen werden, werden ignoriert.

Diagramm der Warnungsaktivität

Wenn Sie das Diagramm für Warnungstrends erweitern, zeigt das Diagramm für Warnungsaktivitäten die Warnungseingänge und -abgänge über den ausgewählten Zeitraum an.

Grüne Balken stellen die Anzahl der neuen Warnungen dar, die während des segmentierten Zeitraums erstellt wurden. Lila Balken stellen die Anzahl der Warnungen dar, die während des segmentierten Zeitraums geschlossen wurden. Die blaue punktierte Linie stellt die Netto-Warnungsaktivität dar, was der Unterschied zwischen neuen und geschlossenen Warnungen ist.

Registerkarte Prävention

Note

Anders als bei den Registerkarten Erkennung und Wartung, die Warnungen auf der Standardbranch melden, erhalten Sie auf der Registerkarte Prävention Einblicke in CodeQL-Warnungen, die in zusammengeführten Pull Requests zu finden sind.

Eingebracht versus verhindert

Das Diagramm „Eingebracht versus verhindert“ zeigt die kumulative Anzahl der im Entwicklerworkflow abgefangenen Sicherheitsrisiken im Verhältnis zu den in Ihrer Organisation oder Ihrem Unternehmen eingebrachten Sicherheitsrisiken in dem von Ihnen ausgewählten Zeitraum an. Verhinderte Sicherheitsrisiken sind definiert als die Anzahl der von CodeQL erkannten Pull-Request-Warnungen, die für zusammengeführte Pull Requests behoben wurden. Die eingebrachten Sicherheitsrisiken sind die Anzahl der von CodeQL erkannten neuen Pull-Request-Warnungen, die als „Risiko akzeptiert“ verworfen wurden oder zum Zeitpunkt der Zusammenführung des Pull Requests nicht behoben waren.

Die Datumsangaben für verhinderte Warnungen basieren auf dem Datum, an dem die Warnungen behoben wurden, und die Datumsangaben für eingebrachte Warnungen basieren auf dem Datum, an dem die Warnungen erstellt wurden.

In Pull Requests behobene Sicherheitsrisiken

Die Metrik „In Pull Requests behobene Sicherheitsrisiken“ zeigt die Anzahl der von CodeQL oder secret scanning erkannten Pull-Request-Warnungen mit „Behoben“ als Grund für die Schließung an, die mit einem zusammengeführten Pull Request verbunden sind.