code security risk assessment这是一种免费的自助扫描,可帮助你了解组织对代码漏洞的暴露。 评估将扫描多达 20 个组织的存储库,并生成一份报告,显示发现的漏洞、它们的严重性,以及可以使用 Copilot自动修复 修复的漏洞数量。
评估是完全免费的。 您无需为任何 GitHub Code Security 许可证支付费用,扫描期间使用的 GitHub Actions 分钟数也免费提供。
谁可以进行评估
组织所有者和安全经理可以在code security risk assessment或GitHub Team计划的组织上运行GitHub Enterprise Cloud。
评估扫描的内容
默认情况下,评估根据过去 90 天内的提交活动预先选择最多 20 个组织的专用存储库和内部存储库。 可以在运行扫描之前更改此选择。 只能选择至少包含一种代码扫描支持的语言的存储库。
扫描程序设定的超时时间是一小时。 如果存储库中的所有语言都无法扫描,该存储库将计为失败。 如果至少一种语言扫描成功,则存储库的结果将包含在报表中。
可以每隔 90 天重新运行评估。 对于每次重新运行,可以更改扫描的存储库。
与secret risk assessment的关系
GitHub 为组织提供两项免费的安全风险评估: code security risk assessment 和 secret risk assessment。 这两个评估独立运行,其结果显示在“评估”视图中的单独选项卡中。 每个评估可以每隔 90 天重新运行一次。
有关 secret risk assessment 的详细信息,请参阅 关于使用 GitHub 的机密安全性。
后续步骤
若要为组织生成一个 code security risk assessment ,请参阅 为您的组织执行代码安全风险评估。