Nachverfolgen von Sicherheitskampagnen

Verwenden Sie die Kampagnennachverfolgungsansichten, um den Wartungsfortschritt zu überwachen, blockierte Arbeit zu identifizieren und die Auswirkungen der Kampagne in Ihrer Organisation zu messen.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

Organizations on GitHub Team or GitHub Enterprise Cloud with GitHub Secret Protection or GitHub Code Security enabled

In diesem Artikel

Hinweis

Kampagnen für secret scanning-Warnungen befinden sich derzeit in der öffentliche Vorschau. Änderungen sind vorbehalten.

Nachverfolgen von Kampagnen in deiner Organisation

Die Nachverfolgungsansicht hilft Ihnen, den Status der Kampagnen Ihrer Organisation schnell zu bewerten. Sie können sie verwenden, um Kampagnen mit einer hohen Anzahl offener Alarme zu identifizieren, zu überprüfen, ob die Arbeit begonnen hat, und festzustellen, ob Kampagnen im Zeitplan liegen, um ihre Fristen zu erfüllen.

Um die Kampagnenverfolgungsansicht anzuzeigen, navigieren Sie zur Security and quality Registerkarte für die Organisation, und klicken Sie dann in der linken Randleiste auf Kampagnen. Um Kampagnen für geheime Schlüssel anzuzeigen, klicken Sie oben auf der Seite auf die Registerkarte " Geheime Schlüssel ".

Screenshot der Übersichtsseite für Sicherheitskampagnen. Die Kampagnenregisterkarte „Secrets“ ist orange umrandet.

In der Nachverfolgungsansicht wird eine Zusammenfassung der Kampagnen „Open“ und „Closed“ mit der Gesamtzahl der Warnungen für alle Kampagnen dieses Typs angezeigt. In der Ansicht wird die Gesamtanzahl der Warnungen in die folgenden Warnungsstatus unterteilt:

  • Open: Die Warnung ist noch aktiv und das Problem wurde noch nicht behoben.
  • In Bearbeitung (nur Code-Kampagnen): Es wurde mit der Behebung der Warnung begonnen – mindestens ein Branch oder Pull Request wurde von der Kampagnenansicht oder der Warnungsseite aus erstellt.
  • Fixed: Die Warnung wurde entweder innerhalb oder außerhalb des Kampagnenworkflows aufgelöst.
  • Verworfen: Die Warnung wurde überprüft, aber absichtlich nicht behoben; sie wurde verworfen.

Überprüfen Sie den Anteil der Warnungen in jedem Status, um zu verstehen, wo Eine Aktion erforderlich ist. Eine hohe Anzahl von offenen Warnungen kann darauf hindeuten, dass die Behebung noch nicht begonnen wurde, während eine geringe Anzahl von in Bearbeitung ausgeführten Warnungen signalisieren könnte, dass Teams zusätzliche Anleitungen oder Priorisierung benötigen.

Nachverfolgen einer einzelnen Kampagne

Du kannst ähnlich den Fortschritt einer einzelnen Kampagne nachverfolgen, indem du die Kampagnen-Nachverfolgungsseite ansiehst.

Um die Nachverfolgungsseite für eine Kampagne anzuzeigen, navigieren Sie zur Seite "Kampagnen", wählen Sie "Code " oder "Geheime Kampagnen" aus, und wählen Sie dann die Kampagne aus, die Sie in der Liste der Kampagnen anzeigen möchten.

Screenshot der Kampagnenverfolgungsansicht für „Testing Campaigns for CodeQL“ Der Fortschritt der Kampagne wird in dunklem Orange angezeigt.

Die Nachverfolgungsansicht für eine einzelne Kampagne hilft Ihnen zu bewerten, ob die Korrektur erwartungsgemäß voranschreitet und ob zusätzliche Nachverfolgung erforderlich ist.

Anhand der folgenden Indikatoren können Sie ermitteln, ob die Korrektur erwartungsgemäß voranschreitet und ob zusätzliche Nachverfolgung erforderlich ist.

  • Kampagnenfortschritt: Anzahl der Warnungen, die geschlossen (behoben oder verworfen) wurden, in Bearbeitung sind oder noch nicht überprüft werden.
  • Status: Den Fortschritt der Kampagne bis zu ihrem Fälligkeitsdatum.
  •           **              Copilot Autofix              ** (nur Codekampagnen): Anzahl der Warnungen, bei denen Copilot Autofix eine Korrektur generiert werden kann, um die Warnung zu beheben.

Wenn beispielsweise viele Warnungen geöffnet bleiben, während das Fälligkeitsdatum naht, müssen Sie sich möglicherweise mit den Repositorybesitzern in Verbindung setzen oder die Kampagnenzeitachse anpassen.

Sie können auch Kampagnenverzeichnisse und Warnungen erkunden, um zu ermitteln, welche Teams aktiv Warnungen bearbeiten und welche möglicherweise eine Nachverfolgung erfordern.

  • Repository details: Du kannst jedes Repository erweitern, um den Fortschritt bei der Warnungsbehebung anzuzeigen.
  • Alert details: Du kannst die Option „Group by“ auf None festlegen, um eine Liste aller Warnungen anzuzeigen.

Du kannst beide Ansichten filtern, um dich auf eine Teilmenge der Repositorys oder Warnungen zu konzentrieren. Bei Codekampagnen werden zunächst alle Benachrichtigungen aufgeführt, die laufend sind.