为安全审核者和开发人员提供了一些工具,供他们查看和分析对企业或组织内安全警报的响应。 本指南对这些工具进行了介绍,其中包括历史时间线、安全概述、审核日志、API 和 Webhook。
安全审核者可以使用这些工具来确保执行适当的操作以解决安全警报,并确定需要开展其他培训的领域。 开发人员可以使用这些工具监视和调试他们自己的安全警报。 你将只能看到你已有权访问的存储库和组织的数据。
每个安全警报都有一个历史时间线,用于显示警报的创建时间或检测到问题的时间。 当警报的状态发生变化时,无论导致变化的原因是什么(例如,Dependabot 关闭已解决的警报,开发人员重新开启警报),都会记录在时间线上。 可以在警报页面上的问题说明下查看警报的历史时间线。
时间线中的许多事件还会在审核日志中创建一个事件,你可以使用审核日志 UI 或 API 进行查询。 有关详细信息,请参阅审核日志。
安全概述整合了有关安全警报的信息,并提供对企业或组织的安全状态的概括性总结。
在安全概览中,可以看到具有待处理安全警报的仓库,以及已启用特定安全功能的仓库。 还可以使用安全概述通过交互式视图对安全警报进行筛选和排序。
有关详细信息,请参阅“关于安全概述”。
可以使用 API 或审核日志 UI 访问和搜索审核日志。 审核日志列出了由影响企业或组织的活动触发的事件,其中包括与安全警报发生某些交互时创建的事件。 创建事件的交互可以手动或通过自动化流程触发,例如,当 Dependabot 创建警报时。
- Secret scanning事件跟踪何时创建、解决或重新开启警报,以及何时绕过推送保护。
- Dependabot 事件跟踪何时创建、消除或解决警报。
- Code scanning 不会在审核日志中创建时间线事件。
有关审核日志事件的列表,请参阅 企业的审核日志事件 和 组织的审核日志事件。
有关如何访问企业或组织的审核日志的信息,请参阅 访问企业的审核日志 和 审查组织的审核日志。
你也可以将审核数据从 流式传输到外部数据管理系统,以便分析和收集内部图表的数据。 企业所有者可以配置审核日志流式处理。 有关详细信息,请参阅流式处理企业的审核日志。
可以设置 code_scanning_alert、dependabot_alert 和 secret_scanning_alert Webhook,在组织或存储库中响应安全警报时接收有效负载。 还可以对要处理的响应进行定义,例如,你可能想要定义一个 Webhook,用于跟踪有人使用警报属性 "push_protection_bypassed": true 绕过推送保护时创建的secret scanning警报。
此外,还可以将 Webhook 有效负载集成到用于监视和通知安全行为的其他工具中。 例如,当创建、解决、或重新打开时,将触发 Webhook。 然后,可以分析 Webhook 有效负载,并将它集成到你的团队所用的工具中,例如 Slack、Microsoft Teams、Splunk 或电子邮件。 有关详细信息,请参阅关于 Webhook 和 Webhook 事件和有效负载。
可以使用 API 列出安全警报并与之交互,例如,获取有关警报更新或消除的最新信息。 还可以使用 API 对警报进行其他更新或自动执行后续操作,例如为每个需要进一步操作的警报创建新问题。 API 仅报告警报的当前状态。
可以列出存储库、组织或企业的所有 Dependabot 警报,或使用路径参数仅列出满足一组特定条件的警报。 例如,你可能只想列出 Maven 的已消除的 Dependabot 警报。 或者,可以获取警报的完整详细信息或更新警报。
有关详细信息,请参阅 Dependabot 警报。
可以列出存储库、组织或企业的所有secret scanning警报,或使用路径参数仅列出满足一组特定条件的警报。 或者,可以获取警报的完整详细信息或更新警报。
若要查看哪些secret scanning警报是绕过推送保护的结果,请筛选 "push_protection_bypassed": true 的结果。
有关详细信息,请参阅 Secret scanning。
可以列出存储库、组织或企业的所有code scanning警报,或使用路径参数仅列出满足一组特定条件的警报。 或者,可以获取警报的完整详细信息或更新警报。
有关详细信息,请参阅 Code scanning。