Dashboard-Metriken
In der Sicherheitsübersicht zeigt das Übersichtsdashboard Sicherheitswarnungsmetriken für Ihre Organisation an. Sie können das Dashboard verwenden, um den Status Ihres Anwendungssicherheitsprogramms zu überwachen, mit Entwicklungsteams zusammenzuarbeiten und Daten für Benchmarking-Zwecke aufzunehmen.
Das Dashboard zeigt Trenddaten an, die die Anzahl und Aktivität von Warnungen im Laufe der Zeit nachverfolgt, sowie Momentaufnahme-Daten, die den aktuellen Zustand widerspiegeln. Alle Daten und Metriken im gesamten Dashboard ändern sich, wenn Sie Filter anwenden. Standardmäßig zeigt das Dashboard alle Warnungen von GitHub Tools an, Aber Sie können den Toolfilter verwenden, um Warnungen von einem bestimmten Tool (secret scanning, Dependabotcode scanningmit CodeQLeinem bestimmten Drittanbietertool) oder allen Tools von Drittanbietern code scanning anzuzeigen. Siehe Filtern von Warnungen in der Sicherheitsübersicht.
Trendindikatoren zeigen prozentuale Veränderung im Vergleich zum vorherigen Zeitraum an. Beispiel:
- 10 Warnungen in dieser Woche im Vergleich zu 20 Warnungen letzte Woche = 50% verringern
- Durchschnittliches Benachrichtigungsalter von 15 Tagen und 5 Tagen = 200% Erhöhung
Filterung des Warnungsschweregrads: Das Dashboard enthält nur Warnungen mit Sicherheitsschweregradstufen: Critical, , High, , Mediumoder Low. Nicht sicherheitsrelevante Warnungen (Error, Warningoder Note) werden ausgeschlossen. Dies kann dazu führen, dass sich die Anzahl auf dem Dashboard von den Summen der code scanning Warnungen unterscheidet. Weitere Informationen findest du unter Code-Scan-Warnungen.
Limitations
Die Daten, die die Übersicht auffüllen, können sich aufgrund verschiedener Faktoren, z. B. Löschen von Repository oder Änderungen an einer Sicherheitsempfehlung, im Laufe der Zeit ändern. Dies bedeutet, dass die Übersichtsmetriken für den gleichen Zeitraum variieren können, wenn sie zu zwei verschiedenen Zeiten angezeigt werden. Für Kompatibilitätsberichte oder andere Szenarien, in denen die Datenkonsistenz von entscheidender Bedeutung ist, empfehlen wir, Daten aus dem Überwachungsprotokoll zu erstellen. Siehe Prüfen von Sicherheitswarnungen.
Auf der Übersichtsseite wird nachverfolgt, wie sich Sicherheitswarnungen im Laufe der Zeit geändert haben. Wenn Sie jedoch nach einem anderen Attribut filtern, z. B. den Repositorystatus, verwendet es den aktuellen Wert dieses Attributs und nicht seinen historischen Wert.
Durch das Archivieren eines Repositorys werden beispielsweise alle darin enthaltenen geöffneten Warnungen geschlossen. Wenn Sie die Übersichtsseite für eine Woche anzeigen, bevor Sie das Repository archiviert haben:
- Die Daten des Repositorys werden nur angezeigt, wenn Sie filtern, um archivierte Repositorys anzuzeigen, da dies der aktuelle Status des Repositorys ist.
- Die Warnungen werden weiterhin als offen angezeigt, da dies ihren Status zu diesem Zeitpunkt widerspiegelt.
Dashboardstruktur
Das Dashboard ist in drei Registerkarten unterteilt, die jeweils auf ein anderes Sicherheitsziel ausgerichtet sind:
- Erkennung: Zeigt Metriken zum Status und zum Alter von Warnmeldungen in Ihrer Organisation sowie zu den Geheimnissen, die blockiert oder umgangen wurden, und zu den wichtigsten Repositorys und Schwachstellen mit dem höchsten potenziellen Sicherheitsrisiko.
- Behebung: Zeigt Metriken dazu, wie Warnmeldungen behoben werden, sowie zur Warnungsaktivität im Zeitverlauf an.
- Prävention: Zeigt Metriken an, wie Sicherheitsrisiken in Pullanforderungen verhindert und behoben wurden.
Hinweis
Im Gegensatz zu den Registerkarten Erkennung und Behebung, die Warnungen im Standard-Branch melden, bietet Ihnen die Registerkarte Prävention Einblicke in CodeQLWarnungen, die in gemergten Pull Requests gefunden wurden.
Erkennungsmetriken
Verfolgen Sie den aktuellen Status von Sicherheitswarnungen in Ihrer Organisation.
Offene Warnungen im Zeitverlauf
Zeigt die Änderung der Anzahl der geöffneten Warnungen über den ausgewählten Zeitraum an. Warnungen werden standardmäßig nach Schweregrad gruppiert. Sie können die Art der Gruppierung von Warnungen ändern.
- Neue Warnungen werden am Erstellungsdatum dargestellt.
- Warnungen, die vor dem gewählten Zeitraum vorhanden sind, werden zu Beginn des Zeitraums dargestellt.
- Sobald eine Warnung behoben oder geschlossen wurde, ist sie nicht im Diagramm enthalten. Stattdessen wechselt die Warnung in das Diagramm für geschlossene Warnungen.
Alter der Warnmeldungen
Das durchschnittliche Alter aller Warnungen, die noch am Ende des ausgewählten Zeitraums geöffnet sind.
Formel: Das Alter jeder geöffneten Warnung wird berechnet, indem das Datum subtrahiert wird, an dem die Warnung erstellt wurde, ab dem Datum, an dem der ausgewählte Zeitraum endet, und dann über alle geöffneten Warnungen hinweg gerechnet wird.
Hinweis
Bei erneut geöffneten Warnungen wird das Alter berechnet, indem das ursprüngliche Erstellungsdatum und nicht das Datum subtrahiert wird, an dem die Warnung erneut geöffnet wurde.
Erneut geöffnete Warnungen
Die Gesamtzahl der geöffneten Warnungen, die während des ausgewählten Zeitraums erneut geöffnet wurden. Es werden nur Warnungen gemeldet, die am Ende des Berichtszeitraums offen sind. Dazu gehören:
- Warnungen, die vor dem ausgewählten Zeitraum geschlossen wurden und am Ende des Zeitraums geöffnet bleiben.
- Neu erstellte Warnungen, die geschlossen und dann während des ausgewählten Zeitraums erneut geöffnet wurden.
- Warnungen, die zu Beginn des ausgewählten Zeitraums geöffnet waren, aber geschlossen und dann innerhalb desselben Zeitraums erneut geöffnet wurden.
Geheimnisse umgangen oder blockiert
Zeigt das Verhältnis der umgangenen Geheimnisse zur Gesamtzahl der durch den Pushschutz blockierten Geheimnisse.
- Umgangen: Es wurden geheime Schlüssel erkannt, die trotzdem zugesichert wurden.
- Erfolgreich blockiert: Gesamtzahl der blockierten Elemente abzüglich der umgangenen. Ein Secret gilt als erfolgreich blockiert, wenn es korrigiert wurde und nicht in das Repository committet wurde.
Klicken Sie auf "Details anzeigen ", um den secret scanning Bericht mit denselben Filtern und dem ausgewählten Zeitraum anzuzeigen.
Weitere Informationen zu secret scanning Metriken zum Pushschutz finden Sie unter Anzeigen von Metriken für secret scanning Pushschutz.
Auswirkungsanalysetabelle
Die Auswirkungsanalysetabelle verfügt über separate Registerkarten mit Daten zu „Repositorys“, „Sicherheitshinweisen“ und „SAST-Sicherheitslücken“.
- Registerkarte "Repositorys": Zeigt die top 10 Repositorys mit den am häufigsten geöffneten Warnungen am Ende des ausgewählten Zeitraums an, die nach der Gesamtzahl der geöffneten Warnungen bewertet wurden. Für jedes Repository wird die Gesamtanzahl der geöffneten Warnungen zusammen mit einer Aufschlüsselung nach Schweregrad angezeigt.
- Registerkarte "Empfehlungen": Zeigt die 10 CVE-Empfehlungen an, die die meisten Dependabot Warnungen am Ende des ausgewählten Zeitraums ausgelöst haben und nach Der Gesamtzahl der geöffneten Warnungen bewertet wurden. Für jeden Hinweis wird die Gesamtzahl der offenen Warnungen zusammen mit einer Schweregradbewertung angezeigt.
- Registerkarte "SAST-Sicherheitsanfälligkeiten": Zeigt die 10 SAST-Sicherheitsrisiken (Static Application Security Testing) an, die die meisten code scanning Warnungen ausgelöst haben und nach der Gesamtzahl der geöffneten Warnungen bewertet wurden. Für jedes Sicherheitsrisiko wird die Gesamtzahl der offenen Warnungen zusammen mit einem Schweregrad angezeigt.
Korrekturmetriken
Verfolgen Sie, wie schnell und effektiv Warnungen aufgelöst werden.
Geschlossene Warnungen im Zeitverlauf
Zeigt die Änderung der Anzahl geschlossener Warnungen über den ausgewählten Zeitraum an. Warnungen werden standardmäßig nach Schweregrad gruppiert. Sie können die Art der Gruppierung von Warnungen ändern. Geschlossene Warnungen umfassen Sicherheitswarnungen, die vor oder während des ausgewählten Zeitraums erfolgreich behoben oder geschlossen wurden.
- Warnmeldungen, die im angegebenen Zeitraum geschlossen wurden, werden im Diagramm mit ihrem Abschlussdatum dargestellt.
- Warnungen, die vor dem ausgewählten Zeitraum behoben oder verworfen wurden, werden zu Beginn des Zeitraums angezeigt.
Durchschnittliche Korrekturzeit
Das durchschnittliche Alter aller Warnungen, die während des ausgewählten Zeitraums behoben oder geschlossen wurden. Warnungen, die als „falsch positiv“ geschlossen wurden, werden ausgeschlossen.
Formel: Das Alter jeder geschlossenen Warnung wird berechnet, indem das Datum subtrahiert wird, an dem die Warnung erstellt wurde, ab dem Datum, an dem die Warnung während des ausgewählten Zeitraums zuletzt geschlossen wurde, und dann über alle geschlossenen Warnungen hinweg gerechnet wird.
Hinweis
Bei erneut geöffneten Warnungen wird das Alter berechnet, indem das ursprüngliche Erstellungsdatum und nicht das Datum subtrahiert wird, an dem die Warnung erneut geöffnet wurde.
Netto-Auflösungsrate
Die Rate, mit der Warnmeldungen geschlossen werden. Diese Metrik ähnelt der Messung der „Entwicklergeschwindigkeit“, die die Geschwindigkeit und Effizienz widerspiegelt, mit der Warnungen aufgelöst werden.
Formel: Anzahl der Warnmeldungen, die während des ausgewählten Zeitraums geschlossen wurden und geschlossen blieben, ÷ Anzahl der Warnmeldungen, die während des Zeitraums erstellt wurden
Hinweis
Die Netto-Auflösungsrate berücksichtigt alle neuen und geschlossenen Warnungen während des gewählten Zeitraums. Dies bedeutet, dass der Satz neuer Warnungen und der Satz geschlossener Warnungen, die für die Berechnung verwendet werden, nicht notwendigerweise übereinstimmen, da sie unterschiedliche Populationen von Warnungen darstellen können.
Ausgeschlossen: Warnungen, die während des ausgewählten Zeitraums erneut geöffnet und erneut geschlossen werden, werden ignoriert.
Diagramm der Warnungsaktivität
Zeigt eingehende und ausgehende Warnmeldungen über den ausgewählten Zeitraum an.
- Grüne Balken: Anzahl der neuen Warnungen, die während des segmentierten Zeitraums erstellt wurden
- Lila Balken: Anzahl der warnungen, die während des segmentierten Zeitraums geschlossen wurden
- Blaue gepunktete Linie: Nettobenachrichtigungsaktivität (Unterschied zwischen neuen und geschlossenen Warnungen)
Präventionsmetriken
Verfolgen Sie Schwachstellen, die abgefangen und behoben wurden, bevor sie in die Produktion gelangen.
Eingebracht versus verhindert
Zeigt die kumulierte Anzahl von Sicherheitsrisiken an, die im Entwicklerworkflow im Vergleich zu den im ausgewählten Zeitraum eingeführten Sicherheitsrisiken erfasst wurden.
- Verhindert: Anzahl der von CodeQL erkannten Pull-Request-Warnungen, die für zusammengeführte Pull Requests behoben wurden. Datumsangaben basieren auf dem Fixdatum.
- Eingeführt: Anzahl neuer Pull-Request-Warnungen, die von CodeQL erkannt und als „Risiko akzeptiert“ verworfen wurden oder zum Zeitpunkt der Zusammenführung des Pull Requests noch ungelöst waren. Datumsangaben basieren auf dem Erstellungsdatum.
In Pull Requests behobene Sicherheitsrisiken
Die Anzahl der Warnungen zu Pull Requests, die von CodeQL oder secret scanning erkannt wurden, den Abschlussgrund „Fixed“ haben und mit einem zusammengeführten Pull Request verknüpft sind.
Warnungen für Pull-Requests wurden mit Copilot Autofix Vorschlägen behoben
Zeigt das Verhältnis der angenommenen Copilot Autofix Vorschläge zur Gesamtzahl der Copilot Autofix Vorschläge bei den von code scanning erkannten Pull-Request-Warnungen.
Copilot Autofix für code scanning bietet gezielte Empfehlungen, mit denen Sie code scanning-Warnungen beheben können. Siehe Anwendungskarte: KI-Funktionen für Sicherheit und Qualität in GitHub.