Bewerten der Einführung von Sicherheitsfeatures

Du kannst über die Sicherheitsübersicht anzeigen, welche Teams und Repositorys die Features zum Schreiben von sicherem Code bereits aktiviert haben, und alle identifizieren, die noch nicht geschützt sind.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

  • Organisationsansichten: Schreibzugriff auf Repositorys in der Organisation
  • Enterprise-Ansichten: Organisationsbesitzerinnen und Sicherheitsmanagerinnen

In diesem Artikel

Informationen zur Einführung von Features für das Schreiben von sicherem Code

Du kannst über die Sicherheitsübersicht anzeigen, welche Repositorys und Teams die einzelnen Sicherheitsfeatures bereits aktiviert haben, und wo Benutzende mehr Unterstützung benötigen, um diese Features zu übernehmen. Die Ansicht „Sicherheitsabdeckung“ enthält eine Zusammenfassung und detaillierte Informationen zur Featureaktivierung für eine Organisation. Du kannst die Ansicht filtern, um eine Teilmenge von Repositorys anzuzeigen, indem du die Links „aktiviert“ und „nicht aktiviert“, das Dropdownmenü „Teams“ und ein Suchfeld in der Kopfzeile der Seite verwendest.

Screenshot des Headerabschnitts der Ansicht „Security coverage“ auf der Registerkarte „Security“ für eine Organisation

Note

„Pull-Request-Warnungen“ werden nur als aktiviert gemeldet, wenn code scanning mindestens einen Pull Request analysiert hat, da Warnungen für das Repository aktiviert wurden.

Sie können die Ansicht „Aktivierungstrends“ verwenden, um Status- und Aktivierungsstatustrends im Laufe der Zeit für Dependabot, code scanning oder secret scanning für Repositorys in einer Organisation oder organisationsübergreifend in einem Unternehmen. anzuzeigen. Für jedes dieser Features können Sie ein Diagramm anzeigen, das den Prozentsatz der Repositorys visualisiert, die das Feature aktiviert haben, sowie eine detaillierte Tabelle mit Aktivierungsprozentsätzen für unterschiedliche Punkte in der Zeit. Weitere Informationen findest du unter Anzeigen von Aktivierungstrends für eine Organisation und Anzeigen von Aktivierungstrends für ein Unternehmen.

Anzeigen der Aktivierung von Sicherheitsfeatures für eine Organisation

Du kannst Daten anzeigen, um die Aktivierung von Features für das Schreiben von sicherem Code in Repositorys in einer Organisation zu bewerten.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Um die Ansicht „Sicherheitsabdeckung“ anzuzeigen, klicke in der Randleiste auf -Abdeckung.

  4. Verwende die Optionen in der Seitenzusammenfassung, um Ergebnisse zu filtern, um die Repositorys anzuzeigen, die du bewerten möchtest. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören. Weitere Informationen finden Sie unter Den Teamzugriff auf ein Repository einer Organisation verwalten.
    • Klicke im Header eines Features auf ANZAHL aktiviert oder ANZAHL deaktiviert, um nur die Repositorys anzuzeigen, für die dieses Feature aktiviert oder deaktiviert ist.
    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.
    • Klicke in das Suchfeld, um den angezeigten Repositorys weitere Filter hinzuzufügen.

In der Liste der Repositorys weist die Bezeichnung „Angehalten“ unter „Dependabot“ auf Repositorys hin, für die Dependabot updates angehalten sind. Informationen zu den Inaktivitätskriterien findest du unter Informationen zu Dependabot-Sicherheitsupdates und Informationen zu Updates von Dependabot-Versionen (für Sicherheits- bzw. Versionsupdates).

Anzeigen der Aktivierung von Features für das Schreiben von sicherem Code in einem Unternehmen

Du kannst Daten anzeigen, um die Aktivierung von Sicherheitsfeatures in Organisationen in einem Unternehmen zu bewerten.

  1. Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.

    Screenshot des Dropdownmenüs, das angezeigt wird, wenn du in GitHub Enterprise Server auf das Profilfoto klickst. Die Option „Enterprise settings“ ist hervorgehoben.
    1. Klicke links auf der Seite auf der Randleiste für das Enterprise-Konto auf Code Security.

  2. Um die Ansicht „Sicherheitsabdeckung“ anzuzeigen, klicke auf der Randleiste auf Abdeckung.

  3. Verwende die Optionen in der Seitenzusammenfassung, um Ergebnisse zu filtern, um die Repositorys anzuzeigen, die du bewerten möchtest. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören. Weitere Informationen finden Sie unter Den Teamzugriff auf ein Repository einer Organisation verwalten.

    • Klicke im Header eines Features auf ANZAHL aktiviert oder ANZAHL deaktiviert, um nur die Repositorys anzuzeigen, für die dieses Feature aktiviert oder deaktiviert ist.

    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.

    • Klicke in das Suchfeld, um den angezeigten Repositorys weitere Filter hinzuzufügen.

    Tip

    Sie können den Filter owner im Suchfeld verwenden, um die Daten nach Organisation zu filtern. Weitere Informationen findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

Du kannst Daten anzeigen, um den Status und die Statustrends der Aktivierung von Sicherheitsfeatures für eine Organisation zu bewerten.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicken Sie in der Randleiste unter „Metriken“ auf Aktivierungstrends.

  4. Klicken Sie auf eine der Registerkarten für „Dependabot“, „Code scanning“ oder „Secret scanning“, um Aktivierungstrends und den Prozentsatz der Repositorys in Ihrer Organisation mit aktivierter Funktion anzuzeigen. Diese Daten werden als Diagramm und eine detaillierte Tabelle angezeigt.

  5. Optional können Sie die Optionen oben auf der Seite „Aktivierungstrends“ verwenden, um die Gruppe der Repositorys zu filtern, für die Sie Aktivierungstrends anzeigen möchten.

    • Verwenden Sie die Datumsauswahl, um die Zeitspanne festzulegen, für die Sie Aktivierungstrends anzeigen möchten.

    • Klicken Sie in das Suchfeld, um den angezeigten Aktivierungstrends weitere Filter hinzuzufügen. Die Filter, die Sie anwenden können, sind identisch mit denen für die Dashboard-Ansicht „Übersicht“. Weitere Informationen finden Sie unter Filtern von Warnungen in der Sicherheitsübersicht.

      Screenshot der Ansicht „Aktivierungstrends“ für eine Organisation mit dem Status „Dependabot“ und „Trends über 30 Tage“ mit angewendetem Filter.

Du kannst Daten anzeigen, um den Status und die Statustrends der Aktivierung von Sicherheitsfeatures in einer Organisation in einem Unternehmen zu bewerten.

  1. Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.

    Screenshot des Dropdownmenüs, das angezeigt wird, wenn du in GitHub Enterprise Server auf das Profilfoto klickst. Die Option „Enterprise settings“ ist hervorgehoben.
    1. Klicke links auf der Seite auf der Randleiste für das Enterprise-Konto auf Code Security.

  2. Um die Ansicht „Aktivierungstrends“ anzuzeigen, klicken Sie in der Randleiste auf Aktivierungstrends.

  3. Klicken Sie auf eine der Registerkarten für „Dependabot“, „Code scanning“ oder „Secret scanning“, um Aktivierungstrends und den Prozentsatz der Repositorys in Organisationen in Ihrem Unternehmen mit aktivierter Funktion anzuzeigen. Diese Daten werden als Diagramm und eine detaillierte Tabelle angezeigt.

  4. Optional können Sie die Optionen oben auf der Seite „Aktivierungstrends“ verwenden, um die Gruppe der Repositorys zu filtern, für die Sie Aktivierungstrends anzeigen möchten.

    • Verwenden Sie die Datumsauswahl, um die Zeitspanne festzulegen, für die Sie Aktivierungstrends anzeigen möchten.
    • Klicken Sie in das Suchfeld, um den angezeigten Aktivierungstrends weitere Filter hinzuzufügen. Weitere Informationen finden Sie unter Filtern von Warnungen in der Sicherheitsübersicht.

Tip

Sie können den Filter owner: im Suchfeld verwenden, um die Daten nach Organisation zu filtern. Weitere Informationen finden Sie unter Filtern von Warnungen in der Sicherheitsübersicht.

Interpretieren der Aktivierungsdaten und das Reagieren darauf

Einige Sicherheitsfeatures können und sollten in allen Repositorys aktiviert werden. Warnungen zur Geheimnisüberprüfung und Pushschutz reduzieren das Risiko eines Sicherheitslecks, unabhängig davon, welche Informationen im Repository gespeichert sind. Wenn Repositorys angezeigt werden, die diese Features noch nicht verwenden, solltest du sie entweder aktivieren oder einen Aktivierungsplan mit dem Team besprechen, das das Repository besitzt. Informationen zum Aktivieren von Features für eine gesamte Organisation findest du unter Aktivieren von Sicherheitsfeatures in deiner Organisation.

Andere Features sind nicht für die Verwendung in allen Repositorys geeignet. Beispiel: Es wäre nicht sinnvoll, Dependabot für Repositorys zu aktivieren, die nur nicht unterstützte Ökosysteme oder Sprachen verwenden. Daher ist es normal, dass diese Features in einigen Repositorys nicht aktiviert sind.

In deinem Unternehmen können ebenfalls Richtlinien konfiguriert worden sein, die die Verwendung einiger Sicherheitsfeatures einschränken. Weitere Informationen finden Sie unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.