Bewerten des Sicherheitsrisikos deines Codes

Mithilfe der Sicherheitsübersicht kannst du ermitteln, welche Teams und Repositorys von Sicherheitswarnungen betroffen sind, und Repositorys für dringende Abhilfemaßnahmen identifizieren.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

  • Organisationsansichten: Schreibzugriff auf Repositorys in der Organisation
  • Enterprise-Ansichten: Organisationsbesitzerinnen und Sicherheitsmanagerinnen

In diesem Artikel

Erkunden von Sicherheitsrisiken in Ihrem Code

Sie können die verschiedenen Ansichten auf Ihrer Registerkarte Sicherheit verwenden, um die Sicherheitsrisiken in Ihrem Code zu erkunden.

  • Übersicht: Hier können Trends bei Erkennung, Wartung und Verhinderung von Sicherheitswarnungen erkundet werden.
  • Risk: Verwende diese Option, um den aktuellen Status der Repositorys für alle Warnungstypen herauszufinden.
  • Assessments: Verwende diese Option, um den aktuellen Status der Repositorys speziell für Geheimnislecks herauszufinden.
  • Warnungsansichten: Hier können die Warnungen code scanning, Dependabot, oder secret scanning genauer erkundet werden.

Diese Ansichten bieten Ihnen Daten und Filter, um folgendes zu tun:

  • Bewerte das Sicherheitsrisiko von Code, der in allen Repositorys gespeichert ist.
  • Identifizieren Sie die Sicherheitsrisiken mit den größten Auswirkungen, um Sie zu beheben.
  • Überwachen den Fortschritt bei der Behebung potenzieller Sicherheitsrisiken.
  • Finde heraus, inwiefern deine Organisation von Geheimnislecks und Kompromittierungen betroffen ist.
  • Exportieren Sie Ihre aktuelle Auswahl an Daten zur weiteren Analyse und Berichterstellung.

Informationen zur Seite Overview findest du unter Einblicke in die Sicherheit anzeigen.

Anzeigen von Sicherheitsrisiken im Code auf Organisationsebene

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Um die Ansicht „Sicherheitsrisiko“anzuzeigen, klicke in der Randleiste auf -Risiko.

  4. Verwende die Optionen in der Seitenzusammenfassung, um Ergebnisse zu filtern, um die Repositorys anzuzeigen, die du bewerten möchtest. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören.
    • Klicke im Header beliebiger Features auf ANZAHL betroffen oder ANZAHL nicht betroffen, um nur Repositorys mit offenen oder ohne offene Warnungen dieses Typs anzuzeigen.
    • Klicke im Header auf eine der Beschreibungen von „Offene Warnungen“, um nur Repositorys mit Warnungen dieses Typs und dieser Kategorie anzuzeigen. 1 kritisch zeigt z. B. nur das Repository mit einer kritischen Warnung für Dependabot an.
    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.
    • Klicke in das Suchfeld, um den angezeigten Repositorys weitere Filter hinzuzufügen.

    Screenshot: Ansicht „Sicherheitsrisiko“ für eine Organisation. Die Filteroptionen sind dunkelorange umrandet.

    Hinweis

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. Du kannst auch die Randleiste auf der linken Seite verwenden, um Warnungen für ein bestimmtes Sicherheitsfeature ausführlicher zu untersuchen. Auf jeder Seite kannst du für das betreffende Feature spezifische Filter verwenden, um deine Suche zu optimieren. Weitere Informationen zu den verfügbaren Qualifizierern findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

  6. Optional können Sie die Schaltfläche CSV exportieren verwenden, um eine CSV-Datei der Daten herunterzuladen, die derzeit auf der Seite für Sicherheitsforschung und ausführliche Datenanalyse angezeigt werden. Weitere Informationen finden Sie unter Exportieren von Daten aus Sicherheitsübersicht.

Hinweis

Auf den Zusammenfassungsansichten „Overview“, „Coverage“ und „Risk“ werden ausschließlich Daten für Standardwarnungen angezeigt. Secret scanning-Warnungen für ignorierte Verzeichnisse und Nicht-Anbieter-Warnungen werden aus diesen Ansichten ausgeschlossen. Folglich können die einzelnen Warnungsansichten eine größere Anzahl offener und geschlossener Warnungen enthalten.

Anzeigen von Sicherheitsrisiken im Code auf Unternehmensebene

Du kannst Daten für Sicherheitswarnungen organisationsübergreifend in einem Unternehmen anzeigen.

Tipp

Sie können den Filter owner im Suchfeld verwenden, um die Daten nach Organisation zu filtern. Wenn Sie Besitzer einer Unternehmen mit verwalteten Benutzer*innen sind, können Sie den owner-type Filter verwenden, um die Daten nach dem Typ des Repositorybesitzers zu filtern, sodass Sie Daten aus firmeneigenen Repositorys oder benutzereigenen Repositorys anzeigen können. Weitere Informationen findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

  1. Navigieren Sie zu GitHub Enterprise Cloud.

  2. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  3. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest. 1. Klicke oben auf der Seite auf Security.

  4. Um die Ansicht „Sicherheitsrisiko“anzuzeigen, klicke in der Randleiste auf -Risiko.

  5. Verwende die Optionen in der Seitenzusammenfassung, um Ergebnisse zu filtern, um die Repositorys anzuzeigen, die du bewerten möchtest. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören.
    • Klicke im Header beliebiger Features auf ANZAHL betroffen oder ANZAHL nicht betroffen, um nur Repositorys mit offenen oder ohne offene Warnungen dieses Typs anzuzeigen.
    • Klicke im Header auf eine der Beschreibungen von „Offene Warnungen“, um nur Repositorys mit Warnungen dieses Typs und dieser Kategorie anzuzeigen. 1 kritisch zeigt z. B. nur das Repository mit einer kritischen Warnung für Dependabot an.
    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.
    • Klicke in das Suchfeld, um den angezeigten Repositorys weitere Filter hinzuzufügen.

    Screenshot: Ansicht „Sicherheitsrisiko“ für ein Unternehmen. Die Filteroptionen sind dunkelorange umrandet.

    Hinweis

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  6. Du kannst auch die Randleiste auf der linken Seite verwenden, um Warnungen für ein bestimmtes Sicherheitsfeature ausführlicher zu untersuchen. Auf jeder Seite kannst du für das betreffende Feature spezifische Filter verwenden, um deine Suche zu optimieren. Weitere Informationen zu den verfügbaren Qualifizierern findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

  7. Optional können Sie die Schaltfläche CSV exportieren verwenden, um eine CSV-Datei der Daten herunterzuladen, die derzeit auf der Seite für Sicherheitsforschung und ausführliche Datenanalyse angezeigt werden. Weitere Informationen finden Sie unter Exportieren von Daten aus Sicherheitsübersicht.

Hinweis

Auf den Zusammenfassungsansichten „Overview“, „Coverage“ und „Risk“ werden ausschließlich Daten für Standardwarnungen angezeigt. Secret scanning-Warnungen für ignorierte Verzeichnisse und Nicht-Anbieter-Warnungen werden aus diesen Ansichten ausgeschlossen. Folglich können die einzelnen Warnungsansichten eine größere Anzahl offener und geschlossener Warnungen enthalten.

Nächste Schritte

Wenn du die Sicherheitsrisiken bewertet hast, kannst du eine Sicherheitskampagne erstellen und mit Entwickelnden daran arbeiten, Warnungen zu beheben. Weitere Informationen zum Beheben von Sicherheitswarnungen im großen Stil findest du unter Erstellen und Verwalten von Sicherheitskampagnen und Bewährte Methoden zum Beheben von Sicherheitswarnungen im großen Stil.