Assessing the security risk of your code

Exploring the security risks in your code

You can use the different views on your Security tab to explore the security risks in your code.

• Overview: use to explore trends in Detection, Remediation, and Prevention of security alerts.
• Risk: use to explore the current state of repositories, across all alert types.
• Assessments: use to explore the current state of repositories, for secret leaks specifically
• Alerts views: use to explore code scanning, Dependabot, or secret scanning alerts in greater detail.

These views provide you with the data and filters to:

• Assess the landscape of security risk of code stored in all your repositories.
• Identify the highest impact vulnerabilities to address.
• Monitor your progress in remediating potential vulnerabilities.
• Understand how your organization is affected by secret leaks and exposures.
• Export your current selection of data for further analysis and reporting.

For information about the Overview, see Viewing security insights.

Viewing organization-level security risks in code

1. 在 GitHub 上，导航到组织的主页面。

2. 在组织名称下，单击“ Security”****。

   

3. 若要在边栏中显示“Security risk”视图，请单击 “Risk”****。

4. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新，以匹配当前选择。 有关筛选的详细信息，请参阅 筛选安全概述中的警报。

   • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
   • 对于任何功能，单击标头中的“受影响的编号”或“不受影响的编号”，以仅显示具有或不具有该类型的未决警报的存储库。
   • 单击标头中“打开警报”的任何说明，以仅显示具有该类型和类别的警报的存储库。 例如，单击“1 关键”以显示存储库中 Dependabot 的关键警报。
   • 在存储库列表顶部，单击“已存档的编号”，以仅显示已存档的存储库。
   • 单击搜索框以向显示的存储库添加更多筛选器。
   

   注意

   The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

5. （可选）使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上，都可使用特定于相应功能的筛选器来优化搜索。 有关可用限定符的详细信息，请参阅 筛选安全概述中的警报。

6. Optionally, use the Export CSV button to download a CSV file of the data currently displayed on the page for security research and in-depth data analysis. For more information, see Exporting data from security overview.

Viewing enterprise-level security risks in code

You can view data for security alerts across organizations in an enterprise.

1. 导航至 GitHub Enterprise Cloud。

2. 在 GitHub 的右上角，单击你的个人资料图片。

3. 根据环境，单击“ 企业”，或单击“ 企业 ”，然后单击要查看的企业。

4. 在页面顶部，单击“ Security”。

5. To display the "Security risk" view, in the sidebar, click Risk.

6. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新，以匹配当前选择。 有关筛选的详细信息，请参阅 筛选安全概述中的警报。

   • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
   • 对于任何功能，单击标头中的“受影响的编号”或“不受影响的编号”，以仅显示具有或不具有该类型的未决警报的存储库。
   • 单击标头中“打开警报”的任何说明，以仅显示具有该类型和类别的警报的存储库。 例如，单击“1 关键”以显示存储库中 Dependabot 的关键警报。
   • 在存储库列表顶部，单击“已存档的编号”，以仅显示已存档的存储库。
   • 单击搜索框以向显示的存储库添加更多筛选器。
   

   注意

   The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

7. （可选）使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上，都可使用特定于相应功能的筛选器来优化搜索。 有关可用限定符的详细信息，请参阅 筛选安全概述中的警报。

8. Optionally, use the Export CSV button to download a CSV file of the data currently displayed on the page for security research and in-depth data analysis. For more information, see Exporting data from security overview.

Next steps

When you have assessed your security risks, you are ready to create a security campaign to collaborate with developers to remediate alerts. For information about fixing security alerts at scale, see 创建和管理安全活动 and 大规模解决安全警报的最佳做法.