Informationen zur Sicherheitsübersicht

Anhand der Sicherheitsübersicht können Sie Einblicke in das allgemeine Sicherheitsumfeld Ihrer Organisation oder Ihres Unternehmens erlangen und Repositorys ermitteln, bei denen ein Eingreifen erforderlich ist.

Wer kann dieses Feature verwenden?

Die Sicherheitsübersicht ist für alle Organisationen im Besitz von GitHub Team oder GitHub Enterprise verfügbar, die Secret risk assessment ausgeführt haben.

Weitere Ansichten sind für

  • Organisationen, die einem GitHub Team-Konto mit GitHub Secret Protection or GitHub Code Security gehören
  • Organisationen, die einem GitHub Enterprise-Konto gehören

Informationen zur Ausführung einer kostenlosen Geheimnisrisikobewertung

In diesem Artikel

Die Sicherheitsübersicht bietet Erkenntnisse zur Sicherheit des Codes, der in Repositorys in deiner Organisation gespeichert ist.

  •         **Alle Organisationen** in GitHub Team können die kostenlose **secret risk assessment** verwenden, um die eigene Gefährdung hinsichtlich kompromittierter Geheimnisse auszuwerten. Weitere Informationen findest du unter [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization).
  • GitHub Team-Konten, die GitHub Secret Protection or GitHub Code Security erwerben, können auf Ansichten mit zusätzlichen Erkenntnissen zugreifen.

In den folgenden Absätzen werden die Ansichten für Organisationen mit GitHub Secret Protection or GitHub Code Security beschrieben, mit denen du Trends bei der Erkennung, Wartung und Verhinderung von Sicherheitswarnungen ermitteln und den aktuellen Zustand deiner Repositorys ausführlich analysieren kannst.

Info zu den Ansichten

Hinweis

Alle Ansichten zeigen Informationen und Metriken für die Standard Branches der Repositories an, für die du die Berechtigung hast, sie in einer Organisation oder einem Unternehmen einzusehen.

Die Ansichten sind interaktiv mit Filtern, die dir die Möglichkeit bieten, die aggregierten Daten im Detail zu betrachten und Quellen mit hohem Risiko zu identifizieren, Sicherheitstrends zu erkennen und die Auswirkungen der Pull-Request-Analyse auf die Blockierung von Sicherheitsschwachstellen in deinem Code zu sehen. Wenn du mehrere Filter anwendest, um die für dich relevanten Bereiche näher einzugrenzen, ändern sich die Daten und Metriken in der Ansicht entsprechend deiner aktuellen Auswahl. Weitere Informationen finden Sie unter Filtern von Warnungen in der Sicherheitsübersicht.

Aus der Sicherheitsübersicht kannst du CSV-Dateien (kommagetrennte Werte) herunterladen, die Daten aus mehreren Seiten deiner Organisation oder die Sicherheitsübersicht des Unternehmens enthalten. Diese Dateien können für Anstrengungen wie Sicherheitsforschung und eingehende Datenanalyse verwendet werden und können problemlos in externe DataSets integriert werden. Weitere Informationen findest du unter Exportieren von Daten aus Sicherheitsübersicht.

Für jede Art von Sicherheitswarnung gibt es eine eigene Ansicht. Du kannst deine Analyse auf eine bestimmte Art von Warnung limitieren und die Ergebnisse mit einer Reihe von Filtern für jede Ansicht weiter eingrenzen. Beispielsweise kannst du in der secret scanning-Warnungsansicht den Filter „Geheimnistyp“ verwenden, um nur Warnungen zur Geheimnisüberprüfung für ein bestimmtes Geheimnis anzuzeigen, z. B. ein GitHub personal access token.

Hinweis

Die Sicherheitsübersicht zeigt aktive Warnungen an, die von Securable Funktionen ausgelöst wurden. Wenn in der Sicherheitsübersicht für ein Repository keine Warnungen angezeigt werden, sind möglicherweise weiterhin unerkannte Sicherheitsrisiken oder Codefehler vorhanden, oder das Feature ist für dieses Repository möglicherweise nicht aktiviert.

Informationen zur Sicherheitsübersicht für Organisationen

Das Team für die Anwendungssicherheit in deinem Unternehmen kann die verschiedenen Ansichten sowohl für allgemeine als auch für spezifische Analysen des Sicherheitsstatus deiner Organisation nutzen. Beispiel: Das Team kann die Dashboardansicht „Overview“ verwenden, um die Sicherheitslandschaft und den Fortschritt deiner Organisation nachzuverfolgen. Außerdem können Sie in der Sicherheitsübersicht nach einer Gruppe von Repositorys suchen und Sicherheitsfeatures für alle davon gleichzeitig aktivieren oder deaktivieren. Weitere Informationen findest du unter Aktivieren von Sicherheitsfeatures für mehrere Repositorys.

Die Sicherheitsübersicht findest du auf der Registerkarte Sicherheit für jede Organisation. Jede Ansicht zeigt eine Zusammenfassung der Daten an, auf die du Zugriff hast. Wenn du Filter hinzufügst, ändern sich alle Daten und Metriken in der gesamten Ansicht, um deine ausgewählten Repositorys oder Warnungen widerzuspiegeln.

Die Sicherheitsübersicht verfügt über mehrere Ansichten, die unterschiedliche Möglichkeiten zum Untersuchen von Aktivierungs- und Warnungsdaten bieten.

  •         **Übersicht:** Informationen zum Visualisieren von Trends bei der **Erkennung**, **Behebung** und **Vorbeugung** von Sicherheitsrisiken findest du unter [AUTOTITLE](/code-security/security-overview/viewing-security-insights).

  •         **Risiko- und Warnungsansichten:** Erkunde die Risiken im Zusammenhang mit Sicherheitswarnungen aller Typen, oder konzentriere dich auf einen einzelnen Warnungstyp, und ermittle die Risiken im Zusammenhang mit bestimmten anfälligen Abhängigkeiten, Codeschwächen oder Geheimnissen, siehe [AUTOTITLE](/code-security/security-overview/assessing-code-security-risk).

  •         **Reichweite:** Hier kannst du die Annahme von Sicherheitsfeatures in den Repositorys der Organisation auswerten. Weitere Informationen findest du unter [AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security).

  •         **Auswertungen:** Unabhängig vom Aktivierungsstatus der Advanced Security-Features können Organisationen in GitHub Team und GitHub Enterprise einen kostenlosen Bericht ausführen, um den Code in der Organisation auf kompromittierte Geheimnisse zu scannen. Weitere Informationen findest du unter [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment).

  •         **Kampagnen:** Koordiniere und miss gezielte Korrekturmaßnahmen, gruppiere zugehörige Sicherheitsaufgaben repositoryübergreifend, weise Besitzer zu, und verfolge den Fortschritt in Richtung definierter Ziele zur Risikoreduzierung.

  •         **Aktivierungstrends:** Zeige an, wie schnell verschiedene Teams Sicherheitsfeatures einführen.

  •         **CodeQL-Pull-Request-Warnungen:** Die Auswirkungen der Ausführung von CodeQL auf Pull Requests und wie Entwicklungsteams Code-Scan-Warnungen auflösen, findest du unter [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts). **Dependabot-Dashboard**: Priorisiere und verfolge kritische Sicherheitsrisiken, indem du Sicherheitsverbesserungen repositoryübergreifend identifizierst, behebst und misst.

  •         **Secret scanning-Erkenntnisse:** Hier kannst du ermitteln, welche Geheimnistypen durch den Pushschutz blockiert werden und welche Teams den Pushschutz umgehen. Weitere Informationen findest du unter [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-secret-scanning-push-protection) und [AUTOTITLE](/code-security/security-overview/reviewing-requests-to-bypass-push-protection).

Du kannst Sicherheitskampagnen zum Beheben von Warnungen auch in der Sicherheitsübersicht erstellen und verwalten. Weitere Informationen dazu findest du unter Erstellen und Verwalten von Sicherheitskampagnen und Bewährte Methoden zum Beheben von Sicherheitswarnungen in Staffelung.

Informationen zur Sicherheitsübersicht für Unternehmen

Die Sicherheitsübersicht findest du auf der Registerkarte Security für dein Unternehmen. Jede Seite zeigt aggregierte und repositoryspezifische Sicherheitsinformationen für dein Unternehmen an.

Wie bei der Sicherheitsübersicht für Organisationen gibt es auch bei der Sicherheitsübersicht für Unternehmen mehrere Ansichten, die verschiedene Möglichkeiten bieten, Daten zu entdecken.

Zugriff auf Daten in der Sicherheitsübersicht

Was Sie in der Sicherheitsübersicht sehen können, hängt von Ihrer Rolle und Berechtigungen in der Organisation oder im Unternehmen ab.

Im Allgemeinen:

  •         **Organisationsbesitzer und Sicherheitsmanager** können Sicherheitsdaten in allen Repositorys in ihrer Organisation anzeigen.

  •         **Organisationsmitglieder** können Daten nur für Repositorys anzeigen, in denen sie Zugriff auf Sicherheitswarnungen haben.

  •         **Unternehmensbesitzer** können aggregierte Sicherheitsdaten in der Sicherheitsübersicht auf Unternehmensebene für Organisationen anzeigen, in denen sie ein Organisationsbesitzer oder Sicherheitsmanager sind. Um Details auf Repositoryebene anzuzeigen, müssen sie über die entsprechende Rolle innerhalb der Organisation verfügen.

Die Sicherheitsübersicht zeigt Daten nur für Repositorys an, die Sie anzeigen dürfen, und einige Ansichten oder Aktionen können basierend auf Ihrer Rolle eingeschränkt werden.

Ausführliche Informationen zu Rollenberechtigungen, einschließlich der verfügbaren Ansichten und der Auswirkungen des Repositoryzugriffs auf die Sichtbarkeit finden Sie unter Security overview permissions.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/code-security/securing-your-organization)

  •         [AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)