本文列出了用于安全概述的所有可用的筛选器(限定符)。 可用筛选器因特定视图以及是在企业级别还是组织级别查看数据而异。
有关如何应用筛选器的信息,请参阅 在安全概述中筛选警报。
注意
安全概览显示的信息根据你对仓库和组织的访问权限而有所不同,也根据这些仓库和组织是否使用 Advanced Security 功能而有所不同。 有关详细信息,请参阅“关于安全概述”。
安全概览筛选逻辑
可以应用筛选器并使用逻辑运算符来显示符合特定安全概览条件的结果。 如果应用了多个不同的筛选器,则会默认使用 AND 逻辑,这意味着只会看到与应用的_所有_筛选器都匹配的结果。 例如,假设添加了筛选器 is:public dependabot:enabled,则只会看到来自公共并且__ 已启用 Dependabot 的存储库的结果。
目前,有两个逻辑运算符可以应用到安全概览上的筛选器:
-
`-` 运算符执行 NOT 逻辑,显示_除_与指定筛选器匹配的结果之外的所有结果。 要使用 `-` 运算符,请将其添加到筛选器的开头。 例如,筛选 `-repo:REPOSITORY-NAME` 将显示_除_`REPOSITORY-NAME` 以外所有存储库中的数据。 -
`,` 运算符执行 OR 逻辑,显示与单个筛选器的_任何_指定值匹配的结果。 要使用 `,` 运算符,请将其添加到所列筛选器的每个值之间。 例如,筛选 `is:public,private` 将显示所有公共_或_专用存储库中的数据。 同样,如果使用不同值多次应用同一筛选器,则会使用 OR 逻辑。 例如,`is:public is:private` 等效于 `is:public,private`。
存储库名称
**适用于:** 所有视图
*
自由文本或关键字搜索: 显示包含关键字的名称的所有存储库的数据。 例如,搜索 test 将显示“test-repository”和“octocat-testing”存储库的数据。
*
**
repo 限定符:** 仅显示与限定符值完全匹配的存储库的数据。 例如,搜索 repo:octocat-testing 将仅显示“octocat-testing”存储库的数据。
存储库可见性和状态筛选器
| 限定符 | Description | Views |
|---|---|---|
visibility | 显示所有存储库的以下数据:public、private 或 internal。 | “概述”和指标 |
is | 显示所有存储库的以下数据:public、private 或 internal。 | “风险”和“覆盖范围” |
archived | 仅显示已存档 (true) 或活动 (false) 存储库的数据。 | 除“警报”视图之外的所有视图 |
团队和主题筛选器
**适用于:** 所有视图
| 限定符 | Description |
|---|---|
team | 显示指定团队具有写入访问权限或管理员访问权限的所有仓库的数据。 有关仓库角色的详细信息,请参阅 组织的存储库角色。 |
topic | 显示按特定主题分类的所有存储库的数据。 有关仓库主题的详细信息,请参阅 使用主题对仓库分类。 |
自定义存储库属性筛选器
**在以下方面可用:** 组织级别的“概述”视图
注意
仓库属性处于 公共预览版 阶段,可能会发生变化。
自定义存储库属性是组织所有者可以添加到组织中的存储库的元数据,提供了一种按感兴趣的信息对存储库进行分组的方法。 例如,可以为合规性框架或数据敏感度添加自定义存储库属性。 有关添加自定义仓库属性的详细信息,请参阅 管理组织中存储库的自定义属性。
如果将自定义属性添加到组织并设置存储库的值,则可以使用这些自定义属性作为限定符来筛选“概述”。
| 限定符 | Description |
|---|---|
props.CUSTOM_PROPERTY_NAME | 限定符由 props. 前缀组成,后跟自定义属性的名称。 例如,props.data_sensitivity:high 显示 data_sensitivity 属性设置为值 high 的存储库的结果。 |
存储库所有者名称和类型筛选器
**在以下方面可用:** 企业级视图
可以将数据限制到企业 中单个组织拥有的存储库或 Enterprise Managed User (EMU) 帐户。 如果是 具有托管用户的企业 的所有者,则还可以按存储库所有者类型进行筛选。
| 限定符 | Description | Views |
|---|---|---|
owner | 显示一个帐户所有者拥有的所有存储库的数据。 | 最多浏览量 |
owner-type | 显示企业中的某个组织或用户帐户拥有的所有存储库的数据。 | 大多数视图,但前提是你是 具有托管用户的企业 的所有者 |
org | 显示一个组织拥有的存储库的数据。 | Dependabot alerts 和 code scanning 警报 |
启用安全功能的筛选器
**在以下方面可用:** “风险”和“覆盖范围”视图
| 限定符 | Description |
|---|---|
code-scanning-alerts | 显示已配置 code scanning 的存储库。 |
dependabot-alerts | 显示已启用 Dependabot alerts 的存储库。 |
secret-scanning-alerts | 显示已启用 机密扫描警报 的存储库。 |
any-feature | 显示至少启用了一项安全功能的存储库。 |
“覆盖范围”视图的额外筛选器
| 限定符 | Description |
|---|---|
code-scanning-default-setup | 显示使用 CodeQL 默认设置已启用或未启用 code scanning 的存储库的数据。 |
code-scanning-pull-request-alerts | 显示已启用或未启用 code scanning 以在拉取请求上运行的存储库的数据。 |
dependabot-security-updates | 显示已启用或未启用 Dependabot security updates 的存储库的数据。 |
secret-scanning-push-protection | 显示已启用或未启用 secret scanning 的推送保护的存储库的数据。 |
警报编号筛选器
**在以下方面可用:** “风险”视图
| 限定符 | Description |
|---|---|
code-scanning-alerts | 显示等于 (=)、大于 (>) 或少于 (<) 特定数量 code scanning 警报的存储库的数据。 例如:对于有超过 100 个警报的存储库,使用code-scanning-alerts:>100。 |
dependabot-alerts | 显示具有特定数量 (=)、大于 (>) 或少于 (<) 特定数量 Dependabot alerts 的存储库的数据。 例如:对于少于或等于 10 个警报的存储库为 dependabot-alerts:<=10。 |
secret-scanning-alerts | 显示具有特定数量 (=)、大于 (>) 或少于 (<) 特定数量 机密扫描警报 的存储库的数据。 例如:对于正好有 10 多个警报的存储库为 secret-scanning-alerts:=10。 |
警报类型和属性筛选器
**在以下方面可用:** “概述”视图
警报类型筛选器
| 限定符 | Description |
|---|---|
tool:codeql | 仅显示 code scanning 的警报数据,这些警报是使用 CodeQL 生成的。 |
tool:dependabot | 仅显示与Dependabot alerts相关的数据。 |
tool:secret-scanning | 仅显示 机密扫描警报 的数据。 |
tool:github | 显示 GitHub 工具生成的所有类型的警报的数据。 |
tool:third-party | 显示第三方工具生成的所有类型的警报的数据。 |
tool:TOOL-NAME | 显示第三方工具为 code scanning 生成的所有警报的数据。 |
警报属性筛选器
| 限定符 | Description |
|---|---|
codeql.rule | 仅显示由 CodeQL 的特定规则标识的 code scanning 的数据。 |
dependabot.ecosystem | 仅显示针对特定生态系统的Dependabot alerts数据,例如:npm。 |
dependabot.package | 仅显示特定包的 Dependabot alerts 的数据,例如:tensorflow。 |
dependabot.scope | 仅显示具有 runtime 或 development 范围的 Dependabot alerts 的数据。 |
secret-scanning.bypassed | 仅显示已绕过 (true) 或未绕过 (false) 推送保护的 机密扫描警报 的数据。 |
secret-scanning.provider | 仅显示特定提供程序发出的 机密扫描警报 的数据,例如:secret-scanning.provider:adafruit。 |
secret-scanning.secret-type | 仅显示特定类型机密的 机密扫描警报 的数据,例如:secret-scanning.secret-type:adafruit_io_key。 |
secret-scanning.validity | 仅显示特定有效性(active、inactive 或 unknown)机密扫描警报 的数据。 |
severity | 仅显示特定严重性(critical、high、medium 或 low)警报的数据。 |
third-party.rule | 仅显示由第三方开发的工具的特定规则标识的 code scanning 的数据。 例如,third-party.rule:CVE-2021-26291-maven-artifact 可仅显示第三方 code scanning 工具的 CVE-2021-26291-maven-artifact 规则的结果。 |
Dependabot 警报视图筛选器
**可用于:** Dependabot 警报视图
| 限定符 | Description |
|---|---|
ecosystem | 显示在指定生态系统中检测到的 Dependabot alerts,例如:ecosystem:Maven。 |
has | 显示安全版本已可用 (patch) 或者至少检测到一个从存储库到易受攻击函数的调用 (vulnerable-calls) 的漏洞的 Dependabot alerts。 有关详细信息,请参阅“查看和更新 Dependabot 警报”。 |
is | 显示已打开 (open) 或已关闭 (closed) 的 Dependabot alerts。 |
package | 显示指定包中检测到的 Dependabot alerts,例如:package:semver。 |
props | 显示具有特定自定义属性集的仓库的 Dependabot alerts。 例如,props.data_sensitivity:high 显示 data_sensitivity 属性设置为值 high 的存储库的结果。 |
relationship | 显示指定关系的 Dependabot alerts,例如:relationship:indirect。 |
repo | 显示指定存储库中检测到的 Dependabot alerts,例如:repo:octo-repository。 |
resolution | 显示关闭时状态为“自动消除”(auto-dismissed)、“已启动修复”(fix-started)、“已修复”(fixed)、“此警报不准确或不正确”(inaccurate)、“没有用于修复的带宽”(no-bandwidth)、“实际上并未使用易受攻击的代码”(not-used) 或“此项目容许风险”(tolerable-risk) 的 Dependabot alerts。 |
scope | 显示来自开发依赖项 (development) 或运行时依赖项 (runtime) 的 Dependabot alerts。 |
severity | 显示指定严重性的 Dependabot alerts,例如:severity:critical。 |
sort | 按警报指向的清单文件路径 (manifest-path) 或检测到警报的包的名称 (package-name) 对 Dependabot alerts 进行分组。 或者,按最重要到最不重要(由 CVSS 分数、漏洞影响、相关性和可操作性 (most-important) 决定)、从最新到最旧 (newest)、从最旧到最新 (oldest) 或者从最严重到最不严重 (severity) 的顺序显示警报。 |
team | 显示由指定团队成员管理的 Dependabot alerts,例如:team:octocat-dependabot-team。 |
topic | 显示具有匹配仓库主题的 Dependabot alerts,例如 topic:asdf。 |
Dependabot 仪表板筛选器
**可用于:** Dependabot 仪表板视图
| Qualifier | 说明 |
|---|---|
repo | 显示指定存储库中检测到的 Dependabot alerts,例如:repo:octo-repository。 |
topic | 显示具有匹配仓库主题的 Dependabot alerts,例如 topic:asdf。 |
team | 显示指定团队成员拥有的 Dependabot alerts,例如:team:octocat-dependabot-team。 |
visibility | 显示指定可见性存储库中检测到的 Dependabot alerts,例如:visibility:private。 |
archived | 显示在存档或未存档的存储库中检测到 Dependabot alerts,例如:archived:true。 |
state | 显示指定状态的 Dependabot alerts,例如:state:unresolved。 |
severity | 显示指定严重性的 Dependabot alerts,例如:severity:critical。 |
scope | 显示来自开发依赖项 (development) 或运行时依赖项 (runtime) 的 Dependabot alerts。 |
package | 显示指定包中检测到的 Dependabot alerts,例如:package:lodash。 |
ecosystem | 显示指定生态系统中检测到的 Dependabot alerts,例如:ecosystem:Maven。 |
relationship | 显示指定关系的 Dependabot alerts,例如:relationship:indirect。 |
epss_percentage | 显示其 EPSS 分数满足定义条件的 Dependabot alerts,例如:epss_percentage:>=0.01 |
exclude <QUALIFIER> | 适用于所有可用的限定符。 显示与 Dependabot alerts 列表中的所选限定符不匹配的警报 |
或者,可以通过单击“ 筛选器”来使用复合筛选器,并生成自定义筛选器来满足你的需求。
Code scanning 警报视图筛选器
**可用:** code scanning 警报视图
可以单击任何结果,以查看相关查询的完整详细信息以及触发警报的代码行。
| 限定符 | Description |
|---|---|
is | 显示已打开 (open) 或已关闭 (closed) 的 code scanning 警报。 |
resolution | 显示关闭时状态为“误报”(false-positive)、“已修复”(fixed)、“在测试中使用”(used-in-tests) 或“不会修复”(wont-fix) 的 code scanning 警报。 |
rule | 显示指定规则标识的 code scanning 警报。 |
severity | 显示分类为 critical、high、medium 或 low 安全警报的 code scanning 警报。 或者,显示 code scanning 警报,这些警报分类为 error、warning、note 问题。 |
sort | 按从最新到最旧 (created-desc)、最旧到最新 (created-asc)、最新更新 (updated-desc) 或最久未更新 (updated-asc) 显示警报。 |
tool | 显示指定工具检测到的 code scanning 警报,例如:对于使用 GitHub 中的 CodeQL 应用程序创建的警报为 tool:CodeQL。 |
Secret scanning 警报视图筛选器
**可用于:** secret scanning 警报视图
| 限定符 | Description |
|---|---|
bypassed | 显示已绕过 (true) 或未绕过 (false) 推送保护的 机密扫描警报。 |
is | 显示处于打开状态 (open)、关闭状态 (closed)、公开泄露状态 (publicly-leaked) 或多存储库 (multi-repository) 的 机密扫描警报。 |
props | 显示具有特定自定义属性集的仓库的警报。 例如,props.data_sensitivity:high 显示 data_sensitivity 属性设置为值 high 的存储库的结果。 |
provider | 显示指定提供商发出的所有密钥的警报,例如:adafruit。 |
repo | 显示在指定仓库中检测到的警报,例如 repo:octo-repository。 |
resolution | 显示标记为以下关闭原因的 机密扫描警报:“误报”(false-positive)、“通过配置隐藏”(hidden-by-config)、“模式已删除”(pattern-deleted)、“模式已编辑”(pattern-edited)、“已撤销”(revoked)、“用于测试”(used-in-tests) 或“不会修复”(wont-fix)。 |
results | 显示默认 (default) 或泛型 (generic) 机密扫描警报。 |
secret-type | 显示指定机密和提供程序 (provider-pattern) 或自定义模式 (custom-pattern) 的警报。 |
sort | 按从最新到最旧 (created-desc)、最旧到最新 (created-asc)、最新更新 (updated-desc) 或最久未更新 (updated-asc) 显示警报。 |
team | 显示属于指定团队成员的警报,例如:team:octocat-dependabot-team。 |
topic | 显示与存储库主题匹配的警报,例如:topic:asdf。 |
validity | 显示特定有效性的警报(active、inactive 或 unknown)。 |