Assessing adoption of security features

You can use security overview to see which teams and repositories have already enabled features for secure coding, and identify any that are not yet protected.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

  • Organisationsansichten: Schreibzugriff auf Repositorys in der Organisation
  • Enterprise-Ansichten: Organisationsbesitzerinnen und Sicherheitsmanagerinnen

In diesem Artikel

About adoption of features for secure coding

You can use security overview to see which repositories and teams have already enabled each security feature, and where people need more encouragement to adopt these features. The "Security coverage" view shows a summary and detailed information on feature enablement for an organization. You can filter the view to show a subset of repositories using the "enabled" and "not enabled" links, the "Teams" dropdown menu, and a search field in the page header.

Screenshot of the header section of the "Security coverage" view on the "Security" tab for an organization.

Hinweis

"Pull request alerts" are reported as enabled only when code scanning has analyzed at least one pull request since alerts were enabled for the repository.

You can download a CSV file of the data displayed on the "Security coverage" page. This data file can be used for efforts like security research and in-depth data analysis, and can integrate easily with external datasets. For more information, see Exporting data from security overview.

You can use the "Enablement trends" view to see enablement status and enablement status trends over time for Dependabot, code scanning, or secret scanning for repositories in an organization, or across organizations in an enterprise. For each of these features, you can view a graph visualizing the percentage of repositories that have the feature enabled, as well as a detailed table with enablement percentages for different points in time. For more information, see Viewing enablement trends for an organization and Viewing enablement trends for an enterprise.

Viewing the enablement of security features for an organization

You can view data to assess the enablement of features for secure coding across repositories in an organization.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf Security.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. To display the "Security coverage" view, in the sidebar, click Coverage.

  4. Verwende die Optionen in der Seitenzusammenfassung, um Ergebnisse zu filtern, um die Repositorys anzuzeigen, die du bewerten möchtest. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören. Weitere Informationen finden Sie unter Den Teamzugriff auf ein Repository einer Organisation verwalten.
    • Klicke im Header eines Features auf ANZAHL aktiviert oder ANZAHL deaktiviert, um nur die Repositorys anzuzeigen, für die dieses Feature aktiviert oder deaktiviert ist.
    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.
    • Klicke in das Suchfeld, um den angezeigten Repositorys weitere Filter hinzuzufügen.

In the list of repositories, a "Paused" label under "Dependabot" indicates repositories for which Dependabot updates are paused. For information about inactivity criteria, see Informationen zu Dependabot-Sicherheitsupdates and Informationen zu Updates von Dependabot-Versionen, for security and version updates, respectively.

Viewing the enablement of features for secure coding in an enterprise

You can view data to assess the enablement of security features across organizations in an enterprise.

  1. Navigieren Sie zu GitHub Enterprise Cloud.
  2. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilbild.
  3. Klicken Sie je nach Ihrer Umgebung auf "Enterprise", oder klicken Sie auf " Unternehmen ", und klicken Sie dann auf das Unternehmen, das Sie anzeigen möchten.
  4. Klicke oben auf der Seite auf Security.
  5. To display the "Security coverage" view, in the sidebar, click Coverage.
  6. Verwende die Optionen in der Seitenzusammenfassung, um Ergebnisse zu filtern, um die Repositorys anzuzeigen, die du bewerten möchtest. Die Liste der Repositorys und Metriken, die auf der Seite angezeigt werden, wird automatisch aktualisiert, um deiner aktuellen Auswahl zu entsprechen. Weitere Informationen zur Filterung findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

    • Verwende das Dropdownmenü Teams, um nur Informationen zu Repositorys anzuzeigen, die einem oder mehreren Teams gehören. Weitere Informationen finden Sie unter Den Teamzugriff auf ein Repository einer Organisation verwalten.

    • Klicke im Header eines Features auf ANZAHL aktiviert oder ANZAHL deaktiviert, um nur die Repositorys anzuzeigen, für die dieses Feature aktiviert oder deaktiviert ist.

    • Klicke oben in der Liste der Repositorys auf ANZAHL Archiviert, um nur archivierte Repositorys anzuzeigen.

    • Klicke in das Suchfeld, um den angezeigten Repositorys weitere Filter hinzuzufügen.

    Tipp

    Sie können den Filter owner im Suchfeld verwenden, um die Daten nach Organisation zu filtern. Wenn Sie Besitzer einer Unternehmen mit verwalteten Benutzer*innen sind, können Sie den owner-type Filter verwenden, um die Daten nach dem Typ des Repositorybesitzers zu filtern, sodass Sie Daten aus firmeneigenen Repositorys oder benutzereigenen Repositorys anzeigen können. Weitere Informationen findest du unter Filtern von Warnungen in der Sicherheitsübersicht.

You can view data to assess the enablement status and enablement status trends of security features for an organization.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf Security.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. In the sidebar, under "Metrics," click Enablement trends.

  4. Click on one of the tabs for "Dependabot," "Code scanning," or "Secret scanning" to view enablement trends and the percentage of repositories in your organization with that feature enabled. This data is displayed as a graph and a detailed table.

  5. Optionally, use the options at the top of the "Enablement trends" view page to filter the group of repositories you want to see enablement trends for.

    • Use the date picker to set the time range that you want to view enablement trends for.

    • Click in the search box to add further filters on the enablement trends displayed. The filters you can apply are the same as those for the "Overview" dashboard view. For more information, see Filtern von Warnungen in der Sicherheitsübersicht.

      Screenshot of the "Enablement trends" view for an organization, showing Dependabot status and trends over 30 days, with a filter applied.

You can view data to assess the enablement status and enablement status trends of security features across organizations in an enterprise.

  1. Navigieren Sie zu GitHub Enterprise Cloud.
  2. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilbild.
  3. Klicken Sie je nach Ihrer Umgebung auf "Enterprise", oder klicken Sie auf " Unternehmen ", und klicken Sie dann auf das Unternehmen, das Sie anzeigen möchten.
  4. Klicke oben auf der Seite auf Security.
  5. To display the "Enablement trends" view, in the sidebar, click Enablement trends.
  6. Click on one of the tabs for "Dependabot," "Code scanning," or "Secret scanning" to view enablement trends and the percentage of repositories across organizations in your enterprise with that feature enabled. This data is displayed as a graph and a detailed table.
  7. Optionally, use the options at the top of the "Enablement trends" view page to filter the group of repositories you want to see enablement trends for.

Tipp

You can use the owner: filter in the search field to filter the data by organization. For more information, see Filtern von Warnungen in der Sicherheitsübersicht.

Interpreting and acting on the enablement data

Some security features can and should be enabled on all repositories. For example, Warnungen zur Geheimnisüberprüfung and push protection reduce the risk of a security leak no matter what information is stored in the repository. If you see repositories that don't already use these features, you should either enable them or discuss an enablement plan with the team who owns the repository. For information on enabling features for a whole organization, see Konfigurieren der Organisationssicherheit.

Other features are not suitable for use in all repositories. For example, there would be no point in enabling Dependabot for repositories that only use ecosystems or languages that are unsupported. As such, it's normal to have some repositories where these features are not enabled.

Your enterprise may also have configured policies to limit the use of some security features. For more information, see Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.