Die Sicherheitsübersicht bietet Erkenntnisse zur Sicherheit des Codes, der in Repositorys in deiner Organisation gespeichert ist.
- Alle Organisationen in Team können die kostenlose secret risk assessment verwenden, um die eigene Gefährdung hinsichtlich kompromittierter Geheimnisse auszuwerten. Weitere Informationen findest du unter Anzeigen der Risikobewertung von Geheimnissen für deine Organisation.
- Team-Konten, die Secret Protection or Code Security erwerben, können auf Ansichten mit zusätzlichen Erkenntnissen zugreifen.
In den folgenden Absätzen werden die Ansichten für Organisationen mit Secret Protection or Code Security beschrieben, mit denen du Trends bei der Erkennung, Wartung und Verhinderung von Sicherheitswarnungen ermitteln und den aktuellen Zustand deiner Repositorys ausführlich analysieren kannst.
Info zu den Ansichten
Hinweis
Alle Ansichten enthalten Informationen und Metriken für die Standardbranches der Repositorys, die Sie in einer Organisation oder einem Unternehmen anzeigen dürfen.
Die Ansichten sind interaktiv und weisen Filter auf, mit denen Sie die aggregierten Daten detailliert betrachten und Quellen mit hohem Risiko ermitteln sowie Sicherheitstrends erkennen können. Außerdem können Sie damit feststellen, inwieweit die Pull-Request-Analyse verhindert, dass sich Sicherheitsrisiken in Ihren Code einschleichen. Wenn du mehrere Filter anwendest, um die für dich relevanten Bereiche näher einzugrenzen, ändern sich die Daten und Metriken in der Ansicht entsprechend deiner aktuellen Auswahl. Weitere Informationen finden Sie unter Filtern von Warnungen in der Sicherheitsübersicht.
Die Sicherheitsübersicht bietet einen Überblick über die Sicherheitslandschaft einer Organisation oder eines Unternehmens und erleichtert das Erkennen von Repositorys, die ein Eingreifen erfordern. Weitere Informationen findest du unter Exportieren von Daten aus Sicherheitsübersicht.
Für jede Art von Sicherheitswarnung gibt es spezielle Ansichten. Sie können die Analyse auf eine bestimmte Art von Warnungen beschränken und die Ergebnisse anschließend mit verschiedenen ansichtsspezifischen Filtern weiter einschränken. Beispielsweise kannst du in der secret scanning-Warnungsansicht den Filter „Geheimnistyp“ verwenden, um nur Warnungen zur Geheimnisüberprüfung für ein bestimmtes Geheimnis anzuzeigen, z. B. ein personal access token.
Hinweis
Die Sicherheitsübersicht zeigt aktive Warnungen an, die von Sicherheitsfeatures ausgelöst werden. Wenn in der Sicherheitsübersicht für ein Repository keine Warnungen angezeigt werden, sind möglicherweise weiterhin unerkannte Sicherheitsrisiken oder Codefehler vorhanden, oder das Feature ist für dieses Repository möglicherweise nicht aktiviert.
Informationen zur Sicherheitsübersicht für Organisationen
Das Team für die Anwendungssicherheit in deinem Unternehmen kann die verschiedenen Ansichten sowohl für allgemeine als auch für spezifische Analysen des Sicherheitsstatus deiner Organisation nutzen. Beispiel: Das Team kann die Dasardansicht „Overview“ verwenden, um die Sicherheitslandschaft und den Fortschritt deiner Organisation nachzuverfolgen. Außerdem können Sie in der Sicherheitsübersicht nach einer Gruppe von Repositorys suchen und Sicherheitsfeatures für alle davon gleichzeitig aktivieren oder deaktivieren. Weitere Informationen findest du unter Aktivieren von Sicherheitsfeatures für mehrere Repositorys.
Die Sicherheitsübersicht finden Sie auf der Registerkarte Sicherheit einer Organisation. Jede Ansicht zeigt eine Zusammenfassung der Daten an, auf die du Zugriff hast. Wenn du Filter hinzufügst, ändern sich alle Daten und Metriken in der gesamten Ansicht, um deine ausgewählten Repositorys oder Warnungen widerzuspiegeln. Informationen zu Berechtigungen findest du unter Berechtigung zum Anzeigen von Daten in der Sicherheitsübersicht.
Die Sicherheitsübersicht verfügt über mehrere Ansichten, die unterschiedliche Möglichkeiten zum Untersuchen von Aktivierungs- und Warnungsdaten bieten.
- Übersicht: Informationen zum Visualisieren von Trends bei der Erkennung, Behebung und Vorbeugung von Sicherheitsrisiken findest du unter Einblicke in die Sicherheit anzeigen.
- Risiko- und Warnungsansichten: Erkunde die Risiken im Zusammenhang mit Sicherheitswarnungen aller Typen, oder konzentriere dich auf einen einzelnen Warnungstyp, und ermittle die Risiken im Zusammenhang mit bestimmten anfälligen Abhängigkeiten, Codeschwächen oder Geheimnissen, siehe Bewerten des Sicherheitsrisikos deines Codes.
- Reichweite: Hier kannst du die Annahme von Sicherheitsfeatures in den Repositorys der Organisation auswerten. Weitere Informationen findest du unter Bewerten der Einführung von Sicherheitsfeatures.
- Beurteilungen: Unabhängig vom Aktivierungsstatus von Advanced Security-Features können Organisation auf Team und Enterprise einen kostenlosen Bericht ausführen, um den Code in der Organisation nach geheimen Daten zu scannen. Weitere Informationen findest du unter Informationen zur Risikobewertung von Geheimnissen.
- Aktivierungstrends: Zeige an, wie schnell verschiedene Teams Sicherheitsfeatures einführen.
- Warnungen zu CodeQL-Pull-Requests: Hier kannst du die Auswirkungen der Ausführung von CodeQL für Pull Requests auswerten und sehen, wie Entwicklungs Code-Scan-Warnungen lösen. Weitere Informationen findest du unter Anzeigen von Metriken für Pull Request-Warnungen.
- Geheimnisüberprüfung: Hier kannst du ermitteln, welche Geheimnistypen durch den Pushschutz blockiert werden und welche Teams den Pushschutz umgehen. Weitere Informationen findest du unter Anzeigen von Metriken für den Pushschutz bei der Geheimnisüberprüfung und Überprüfen von Anforderungen zum Umgehen des Pushschutzes.
Du kannst Sicherheitskampagnen zum Beheben von Warnungen auch in der Sicherheitsübersicht erstellen und verwalten. Weitere Informationen dazu findest du unter Erstellen und Verwalten von Sicherheitskampagnen und Bewährte Methoden zum Beheben von Sicherheitswarnungen im großen Stil.
Informationen zur Sicherheitsübersicht für Unternehmen
Die Sicherheitsübersicht findest du auf der Registerkarte Security für dein Unternehmen. Jede Seite zeigt aggregierte und repositoryspezifische Sicherheitsinformationen für dein Unternehmen an.
Genau wie die Sicherheitsübersicht für Organisationen weist die Sicherheitsübersicht für Unternehmen mehrere Ansichten auf, die unterschiedliche Möglichkeiten zum Untersuchen von Daten bieten.
Informationen zu Berechtigungen findest du unter Berechtigung zum Anzeigen von Daten in der Sicherheitsübersicht.
Berechtigung zum Anzeigen von Daten in der Sicherheitsübersicht
Übersicht auf Organisationsebene
Wenn Sie Besitzer oder Sicherheits-Manager für eine Organisation sind, werden Ihnen in allen Ansichten Daten für alle Repositorys in der Organisation angezeigt.
Wenn Sie Mitglied einer Organisation oder eines Teams sind, können Sie die Sicherheitsübersicht für die Organisation einsehen und Daten für Repositorys anzeigen, für die Sie einen entsprechenden Zugriffsumfang haben.
Tipp
Die Ansicht „Assessments“, die in der folgenden Tabelle nicht angezeigt wird, ist nur für Organisationsbesitzer und Sicherheitsmanager verfügbar.
| Mitglied einer Organisation oder eines Teams mit | Anzeige Übersichtsdasard | Risiko- und Warnungsansichten | Abdeckungsansicht |
|---|---|---|---|
admin-Zugriff für ein oder mehrere Repositorys | Anzeigen von Daten für diese Repositorys | Anzeigen von Daten für diese Repositorys | Sie können Daten für diese Repositorys anzeigen |
write-Zugriff für ein oder mehrere Repositorys | Anzeigen von code scanning- und Dependabot-Daten für diese Repositorys | Anzeigen von code scanning- und Dependabot-Daten für diese Repositorys | Kein Zugriff |
read- oder triage-Zugriff für ein oder mehrere Repositorys | Kein Zugriff | Kein Zugriff | Kein Zugriff |
| Zugriff auf Sicherheitswarnungen für mindestens ein Repository | Anzeigen aller Sicherheitswarnungsdaten für diese Repositorys | Anzeigen aller Sicherheitswarnungsdaten für diese Repositorys | Kein Zugriff |
| Benutzerdefinierte Organisationsrolle mit der Berechtigung zum Anzeigen einer oder mehrerer Arten von Sicherheitswarnungen | Anzeigen zulässiger Warnungsdaten für alle Repositorys | Anzeigen zulässiger Warnungsdaten für alle Repositorys in allen Ansichten | Kein Zugriff |
Hinweis
Um Konsistenz und Reaktionsfähigkeit sicherzustellen, zeigen die Seiten der Sicherheitsübersicht auf Organisationsebene nur Ergebnisse aus den zuletzt aktualisierten 3.000 Repositorys an. Wenn Ihre Ergebnisse eingeschränkt wurden, wird oben auf der Seite eine Benachrichtigung angezeigt. Organisationsbesitzer und Sicherheitsmanager sehen Ergebnisse aus allen Repositorys.
Weitere Informationen zum Zugriff auf Sicherheitswarnungen und zugehörige Ansichten findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und Informationen zu benutzerdefinierten Repositoryrollen.
Übersicht auf Organisationssebene
Hinweis
Wenn du ein Unternehmensbesitzer bist, musst du einer Organisation als Organisationsbesitzer beitreten, um die Daten für die Repositorys der Organisation sowohl in der Übersicht auf Organisations- als auch auf Unternehmensebene anzuzeigen. Weitere Informationen findest du unter Verwalten deiner Rolle in einer Organisation, die deinem Unternehmen gehört.
In der Sicherheitsübersicht auf Unternehmensebene können Sie Daten für alle Organisationen einsehen, in denen Sie Organisationsbesitzer oder Sicherheits-Manager sind.