企业安全中心提供了数据安全评分和安全风险事件提醒功能,及时检测企业代码资产的安全状态,实现安全预防、风险检测、主动防御的全方位保护。
安全总览分为两个部分:安全评分和安全分析。
安全评分
安全评分通过备份与恢复、安全与加密、代码安全检测等安全能力,从权限控制、成员行为安全、代码内容安全三个维度计算安全分值针。每个维度的分数最高 100 分,安全分值表:
安全分值 | 分值说明 | 字体颜色 | 等级 |
90~100 | 恭喜,您的资产安全状态良好。 | 绿色 | 良好(90~99) 优秀(100) |
80~89 | 您的资产存在安全风险,建议您尽快加固安全防护体系。 | 蓝色 | 低风险 |
60~79 | 您的资产存在较多安全风险,建议您及时加固安全防护体系。 | 黄色 | 中风险 |
60分以下 | 您的资产安全防御的能力较弱,建议您尽快加固安全防护体系。 | 红色 | 高风险 |
整体安全等级按权限控制、成员行为安全、代码内容安全三个维度的分值进行判断:
有一个维度是高风险,那整体就是高风险
若没有高风险,有一个维度是中风险,那整体就是中风险
若没有高风险和中风险,有一个维度是低风险,那整体就是低风险
若都是良好,那整体就是良好
若都是优秀,那整体就是优秀
根据安全风险,提供对应优化的安全设置建议,以提升安全评分,加固企业数据安全。扣分项及优化建议:
扣分分类 | 扣分项 | 扣分分值 | 优化建议 |
权限控制 | 未开启 IP 白名单 | 10 | |
未区分企业管理员和企业代码管理员(开启了同步云效企业管理员) | 10 | ||
成员行为安全 | 未开启可见性变更通知-代码库公开通知-站内通知 | 2.5 | |
未开启可见性变更通知-代码库公开通知-邮箱通知 | 2.5 | ||
未开启可见性变更通知-代码库删除通知-站内通知 | 2.5 | ||
未开启可见性变更通知-代码库删除通知-邮箱通知 | 2.5 | ||
未开启可见性变更通知-代码组公开通知-站内通知 | 2.5 | ||
未开启可见性变更通知-代码组公开通知-邮箱通知 | 2.5 | ||
未开启可见性变更通知-代码组删除通知-站内通知 | 2.5 | ||
未开启可见性变更通知-代码组删除通知-邮箱通知 | 2.5 | ||
代码库未全部设置保护分支 | 未设置保护分支的代码库比例*10 | ||
企业未设置禁止强制推送或代码属主检查 | 10 | ||
未开启敏感行为监测 | 30 | ||
开启了敏感行为监测,但设置了监测白名单 | 3 | ||
开启了敏感行为监测,但未开启敏感行为告警通知-站内通知 | 3 | ||
开启了敏感行为监测,但未开启敏感行为告警通知-邮箱通知 | 3 | ||
代码内容安全 | 未开启敏感信息检测或依赖包漏洞检测 | 未开启敏感信息检测或依赖包漏洞检测的代码库比例 * 30 | |
千行代码问题率 | 千行代码问题率 * 40 | 修复代码检测出的问题 |
安全分析
安全分析通过多样化的安全检测能力,识别、分析、警示企业代码数据风险,包括:
近 15 天企业成员存在的异常行为
回收站中遗留被删除的代码库
代码库存在敏感信息泄露风险
代码库存在依赖包漏洞风险