Diese Version von GitHub Enterprise Server wurde eingestellt am 2026-06-02. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Metriken des Sicherheitsübersichts-Dashboards

Detaillierte Erläuterungen zu Metriken, Berechnungen und Datenvisualisierungen auf der Übersichtsseite Ihrer Sicherheitsübersicht.

In diesem Artikel

Dashboard-Metriken

Das Übersichtsdashboard der Sicherheitsübersicht zeigt Sicherheitswarnungsmetriken für Ihre Organisation oder Ihr Unternehmen an.

Trendindikatoren zeigen prozentuale Veränderung im Vergleich zum vorherigen Zeitraum an. Beispiel:

  • 10 Warnungen in dieser Woche im Vergleich zu 20 Warnungen letzte Woche = 50% verringern
  • Durchschnittliches Benachrichtigungsalter von 15 Tagen und 5 Tagen = 200% Erhöhung

Filterung des Warnungsschweregrads: Das Dashboard enthält nur Warnungen mit Sicherheitsschweregradstufen: Critical, , High, , Mediumoder Low. Nicht sicherheitsrelevante Warnungen (Error, Warningoder Note) werden ausgeschlossen. Dies kann dazu führen, dass sich die Anzahl auf dem Dashboard von den Summen der code scanning Warnungen unterscheidet. Weitere Informationen findest du unter Code-Scan-Warnungen.

Dashboardstruktur

Die Registerkarte " Erkennung " enthält Informationen zu:

  • Benachrichtigungsstatus und Alter
  • Geheime Schlüssel blockiert oder umgangen
  • Hochrisiko-Repositorien und Sicherheitslücken

Die Registerkarte " Korrektur " enthält Informationen zu:

  • Wie Warnungen aufgelöst werden
  • Warnungsaktivität im Laufe der Zeit

Die Registerkarte "Verhinderung " enthält Informationen zu:

  • Sicherheitsanfälligkeiten, die bei Pullanforderungen verhindert und behoben wurden
  • CodeQL Warnungen in zusammengeführten Pullanforderungen (nicht in der Standardverzweigung)

Erkennungsmetriken

Verfolgen Sie den aktuellen Status von Sicherheitswarnungen.

Offene Warnungen im Zeitverlauf

Zeigt die Anzahl der geöffneten Warnungen im Laufe der Zeit an.

Enthalten

  • Neue Warnungen (werden am Erstellungsdatum angezeigt)
  • Vorhandene offene Warnungen (zu Beginn des Zeitraums angezeigt)

Ausgeschlossen

  • Korrigierte oder verworfene Warnungen

Standardgruppierung: Warnungsschweregrad

Alter der Warnmeldungen

Durchschnittliches Alter der Warnungen, die am Ende des Zeitraums noch offen sind.

Formel: Durchschnitt (Enddatum des Zeitraums – Erstellungsdatum der Warnung) über alle offenen Warnungen

Hinweis: Erneut geöffnete Warnungen verwenden das ursprüngliche Erstellungsdatum, nicht das Datum des erneuten Öffnens

Erneut geöffnete Warnungen

Gesamtzahl der offenen Warnmeldungen, die während des Zeitraums erneut geöffnet wurden.

Wird gezählt, wenn:

  • Geschlossen vor dem Zeitraum und noch offen am Ende der Periode
  • Erstellt, geschlossen und während desselben Zeitraums wieder geöffnet
  • Geöffnet zu Beginn, geschlossen und dann während des Zeitraums erneut geöffnet

Anforderung: Muss am Ende des Berichtszeitraums geöffnet sein.

Geheimnisse umgangen oder blockiert

Das Verhältnis von umgangenen Geheimnissen zu den durch Pushschutz blockierten Gesamtengeheimnissen.

Metriken

  • Umgangen: Erkannte Geheimnisse, die trotzdem gespeichert wurden
  • Erfolgreich blockiert: Gesamtanzahl blockiert abzüglich umgangener Anfragen

Details anzeigen: Klicken Sie hier, um den secret scanning Bericht mit übereinstimmenden Filtern anzuzeigen.

Weitere Informationen findest du unter Anzeigen von Metriken für secret scanning Pushschutz.

Auswirkungsanalysetabelle

Zeigt Repositorys und Sicherheitsrisiken mit dem höchsten Sicherheitsrisiko an.

Registerkarte "Repositories"

  • Top 10 Repositories nach der Anzahl der offenen Warnungen
  • Gesamtübersicht über Warnungen und Schweregrad

Registerkarte "Empfehlungen"

  • Top 10 CVE-Empfehlungen nach Warnungsanzahl
  • Dependabot Nur Warnungen

Registerkarte "SAST-Sicherheitsrisiken"

  • Top 10 SAST-Sicherheitsrisiken (Static Application Security Testing, SAST)
  • Nur Dependabot alerts

Korrekturmetriken

Verfolgen Sie, wie schnell und effektiv Warnungen aufgelöst werden.

Geschlossene Warnungen im Zeitverlauf

Diagramm mit der Anzahl geschlossener Warnungen im Laufe der Zeit.

Enthalten

  • Benachrichtigungen, die während des Zeitraums geschlossen wurden (am Abschlussdatum angezeigt)
  • Warnungen, die vor dem Zeitraum geschlossen wurden (angezeigt am Anfang des Zeitraums)

Standardgruppierung: Warnungsschweregrad

Durchschnittliche Korrekturzeit

Das durchschnittliche Alter von Alarmen, die während des Zeitraums behoben oder abgewiesen wurden.

Formel: (Schließdatum der Warnung - Erstellungsdatum der Warnung) gemittelt über alle geschlossenen Warnungen

Ausgeschlossen: Warnungen, die als "Fehlalarm" geschlossen wurden.

Hinweis

Erneut geöffnete Warnungen verwenden das ursprüngliche Erstellungsdatum, nicht das Datum des erneuten Öffnens.

Netto-Auflösungsrate

Rate, mit der Warnungen geschlossen werden (misst die Auflösungsgeschwindigkeit).

Formel: Geschlossene Warnungen (die geschlossen bleiben) ÷ Neue Warnungen erstellt

Wichtig: Verwendet alle neuen und geschlossenen Alarme im Zeitraum. Dies könnten unterschiedliche Warnpopulationen sein.

Ausgeschlossen: Warnungen, die während des Zeitraums erneut geöffnet und wieder geschlossen wurden.

Diagramm der Warnungsaktivität

Zeigt Warnungseingänge und -ausgänge über die Zeit an.

Visueller Schlüssel

  • Grüne Balken: Neue Warnungen erstellt
  • Lila Balken: Warnungen geschlossen
  • Blaue Linie: Nettoaktivität (neue minus geschlossene)

Präventionsmetriken

Verfolgen Sie Schwachstellen, die abgefangen und behoben wurden, bevor sie in die Produktion gelangen.

**Datenquelle:**CodeQL Warnungen in zusammengeführten Pullanforderungen (nicht in der Standardverzweigung)

Eingebracht versus verhindert

Kumulative Schwachstellen, die entdeckt versus eingeführt wurden.

Verhindert

  • Bereits vor dem Merge behobene Pull-Request-Benachrichtigungen
  • Erkannt von CodeQL
  • Datumsangaben basierend auf dem Fixdatum

Eingeführt

  • Benachrichtigungen zu neuen Pull-Anforderungen, die beim Zusammenführen entweder als „Risiko akzeptiert“ markiert oder nicht aufgelöst wurden
  • Erkannt von CodeQL
  • Datumsangaben basierend auf erstellungsdatum

In Pull Requests behobene Sicherheitsrisiken

Anzahl der Pull-Anforderungsbenachrichtigungen mit nahem Grund "Behoben" in zusammengeführten Pullanforderungen.

**Warnungstypen:**CodeQL Oder secret scanning