Affichage des aperçus de sécurité

Vous pouvez utiliser le tableau de bord de la vue d’ensemble dans la vue d’ensemble de la sécurité pour surveiller le paysage de sécurité des référentiels de votre organisation ou de votre entreprise .

Qui peut utiliser cette fonctionnalité ?

L’accès nécessite :

  • Vues de l’organisation : accès en écriture aux référentiels de l’organisation
  • Vues d’entreprise : propriétaires et responsables de la sécurité de l’organisation

Dans cet article

À propos des insights de sécurité

La page de vue d’ensemble de la vue d’ensemble de la sécurité est un tableau de bord consolidé d’insights sur le paysage de sécurité et la progression de votre organisation ou de votre entreprise . Vous pouvez utiliser le tableau de bord pour surveiller l’intégrité de votre programme de sécurité des applications, collaborer avec des équipes d’ingénieurs et collecter des données à des fins d’évaluation.

Les vues d’ensemble de la sécurité au niveau de l’entreprise et de l’organisation ont un tableau de bord. Par défaut, le tableau de bord d'entreprise affiche les indicateurs de performance de tous les référentiels de votre entreprise. Vous pouvez filtrer les données affichées sur le tableau de bord d'entreprise par propriétaire (par ex., par organisation). Par défaut, le tableau de bord au niveau de l’organisation affiche les métriques de tous les référentiels appartenant à votre organisation. Les deux tableaux de bord vous permettent également de filtrer par référentiel.

Vous pouvez afficher une variété de métriques sur les alertes de sécurité dans votre organisation ou de votre entreprise. Le tableau de bord affiche les données de tendance qui effectuent le suivi du nombre d’alertes et de l’activité au fil du temps, ainsi que des données d’instantané qui reflètent l’état actuel.

Le tableau de bord est divisé en trois onglets, chacun axé sur un objectif de sécurité différent : * Détection : cet onglet présente des données sur l'état et l'ancienneté des alertes dans votre organisation ou entreprise, les secrets qui ont été bloqués ou contournés, ainsi que les principaux référentiels et vulnérabilités qui présentent le risque de sécurité potentiel le plus élevé. * Correction : cet onglet présente des mesures concernant la résolution des alertes et l'activité des alertes au fil du temps. * Prévention : cet onglet présente des indicateurs sur la manière dont les vulnérabilités ont été évitées et corrigées.

Remarque

Contrairement aux onglets Détection et Correction qui signalent les alertes sur la branche par défaut, l'onglet Prévention vous donne des informations sur les alertes CodeQL trouvées dans les demandes de tirage (pull request) fusionnées.

Vous pouvez filtrer le tableau de bord de vue d’ensemble en sélectionnant une période spécifique et en appliquant des filtres supplémentaires pour vous concentrer sur des zones d’intérêt plus étroites. Toutes les données et les métriques présentes dans le tableau de bord changeront à mesure que vous appliquez des filtres. Par défaut, le tableau de bord affiche toutes les alertes provenant des outils GitHub, mais vous pouvez utiliser le filtre d'outil pour afficher les alertes provenant d'un outil spécifique (secret scanning, , code scanning utilisant CodeQL, un outil tiers spécifique) ou tous les outils code scanning tiers. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

Vous pouvez télécharger un fichier CSV des données du tableau de bord de votre organisation ou entreprise. Ce fichier de données peut s’intégrer facilement à des jeux de données externes. Vous pouvez donc le trouver utile pour la recherche en matière de sécurité, l’analyse des données, etc. Pour plus d’informations, consultez « Exportation de données de la vue d’ensemble de la sécurité ».

.Les membres de l'entreprise peuvent accéder à la page de présentation des organisations de leur entreprise. Vous verrez les indicateurs de performance en fonction de votre rôle et de vos autorisations relatives au référentiel. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

Conseil

Si vous souhaitez évaluer l’exposition de votre organisation aux fuites de secrets en particulier, vous pouvez effectuer gratuitement un secret risk assessment sur GitHub. Le rapport qui en résulte vous donne des informations globales sur les fuites publiques, les expositions privées et les types de jetons, et vous propose des actions concrètes pour renforcer votre sécurité et protéger votre code. Consultez À propos de la sécurité des secrets avec GitHub.

Limites

Les données qui remplissent la page de vue d’ensemble peuvent changer et changeront au fil du temps en raison de différents facteurs, tels que la suppression du référentiel ou les modifications apportées à un avis de sécurité. Cela signifie que les métriques de vue d’ensemble pour la même période peuvent varier si elles sont consultées à deux reprises. Pour les rapports de conformité ou d’autres scénarios où la cohérence des données est cruciale, nous vous recommandons de sourcer des données à partir du journal d’audit. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

N’oubliez pas que la page de vue d’ensemble suit les modifications au fil du temps uniquement pour les données d’alerte de sécurité. Si vous filtrez la page par attributs sans alerte, tels que le statut du référentiel, les données que vous voyez reflètent l’état actuel de ces attributs, au lieu de l’état historique. Par exemple, considérez que vous avez archivé un référentiel qui contient des alertes de sécurité ouvertes, une action qui ferme les alertes. Si vous affichez ensuite la page de vue d’ensemble de la semaine précédant l’archivage du référentiel, les données d’alerte pour le référentiel s’affichent uniquement lorsque vous filtrez pour afficher les données à partir de référentiels archivés, car l’état actuel du référentiel est archivé. Toutefois, les alertes s’affichent comme ouvertes, car elles ont été ouvertes pendant cette période et la page de vue d’ensemble suit l’état historique des alertes.

Remarque

Les vues récapitulatives (« Vue d’ensemble », « Couverture » et « Risque ») affichent uniquement les données relatives aux alertes par défaut. Les alertes Secret scanning pour les répertoires ignorés et les alertes non fournies par le fournisseur sont toutes omises de ces vues. Par conséquent, les affichages d’alertes individuelles peuvent inclure un plus grand nombre d’alertes ouvertes et fermées.

Affichage du tableau de bord vue d’ensemble de la sécurité pour votre organisation

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Securité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. La page de vue d’ensemble est la vue principale qui s’affiche lorsque vous cliquez sur l’onglet « Sécurité ». Pour accéder au tableau de bord à partir d’une autre page de vue d’ensemble de la sécurité, dans la barre latérale, cliquez sur Vue d’ensemble.

  4. Par défaut, l'onglet Détection est affiché. Si vous souhaitez passer à un autre onglet pour voir d'autres mesures, cliquez sur Correction ou Prévention.

  5. Utilisez les options en haut de la page de vue d’ensemble pour filtrer le groupe d’alertes pour lequel vous souhaitez afficher les métriques. Toutes les données et métriques de la page changent lorsque vous ajustez les filtres.

    • Utilisez le sélecteur de dates pour définir l’intervalle de temps pour lequel vous souhaitez afficher l’activité et les métriques d’alerte.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires sur les alertes et les métriques affichées.

    Capture d’écran de la page Vue d’ensemble dans la vue d’ensemble de la sécurité. Les options de filtrage sont encadrées en orange foncé, y compris le sélecteur de dates et le champ de recherche.

Affichage du tablea de bord de la vue d’ensemble de la sécurité pour votre entreprise

  1. Accédez à GitHub Enterprise Cloud.

  2. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.

  3. Selon votre environnement, cliquez sur Entreprise, ou sur Entreprises , puis sur l’entreprise que vous souhaitez afficher.

  4. Par défaut, l'onglet Détection est affiché. Si vous souhaitez passer à un autre onglet pour voir d'autres mesures, cliquez sur Correction ou Prévention.

  5. Utilisez les options en haut de la page de vue d’ensemble pour filtrer le groupe d’alertes pour lequel vous souhaitez afficher les métriques. Toutes les données et métriques de la page changent lorsque vous ajustez les filtres.

    • Utilisez le sélecteur de dates pour définir l’intervalle de temps pour lequel vous souhaitez afficher l’activité et les métriques d’alerte.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires sur les alertes et les métriques affichées.

    Capture d’écran de la page Vue d’ensemble dans la vue d’ensemble de la sécurité. Les options de filtrage sont encadrées en orange foncé, y compris le sélecteur de dates et le champ de recherche.

Présentation du tableau de bord de la vue d’ensemble

  •         [Onglet Détection](#detection-tab)

  •         [Tabulation Correction](#remediation-tab)

  •         [Tabulation Prévention](#prevention-tab)

Certaines métriques du tableau de bord de vue d’ensemble de la sécurité incluent un indicateur de tendance, qui indique le pourcentage de gain ou de perte pour la période choisie par rapport à la période précédente. Par exemple, lorsque vous sélectionnez une semaine avec 10 alertes, si la semaine précédente avait 20 alertes, l’indicateur de tendance signale que la métrique a diminué de 50 %. Si l’âge moyen des alertes ouvertes est de 15 jours et, pour la période précédente, il s’agissait de 5 jours, l’indicateur de tendance signale que la métrique a augmenté de 200 %.

Remarque

Le nombre d’alertes affichées dans le tableau de bord de vue d’ensemble de la sécurité peut ne pas correspondre au nombre d’alertes code scanning. Le tableau de bord de la vue d'ensemble de la sécurité se concentre sur le paysage de la sécurité de votre organisation et ne comprend que des alertes avec un niveau de sécurité (« Critique », « Élevé », « Moyen » ou « Faible »), mais CodeQL et des outils tiers peuvent produire séparément des alertes non liées à la sécurité avec un niveau « Erreur », « Avertissement » ou « Note ». Pour plus d'informations sur les niveaux de gravité d’alertes et de sécurité dans code scanning, consultez À propos des alertes d’analyse du code.

Onglet Détection

  •         [Ouvrir des alertes au fil du temps](#open-alerts-over-time)

  •         [Âge des alertes](#age-of-alerts)

  •         [Alertes réouvertes](#reopened-alerts)

  •         [Secrets ignorés ou bloqués](#secrets-bypassed-or-blocked)

  •         [Tableau d’analyse d’impact](#impact-analysis-table)

Ouvrir des alertes au fil du temps

Le graphique « Alertes ouvertes au fil du temps » montre l'évolution du nombre d'alertes ouvertes dans votre organisation ou entreprise au cours de la période choisie. Par défaut, les alertes sont regroupées par gravité. Vous pouvez modifier la façon dont les alertes sont regroupées.

Les alertes ouvertes incluent les alertes de sécurité ouvertes nouvellement créées et existantes. Les nouvelles alertes sont représentées à leur date de création, tandis que les alertes qui existaient avant la période choisie sont représentées au début de la période. Une fois qu’une alerte est corrigée ou ignorée, elle n’est pas incluse dans le graphique. Au lieu de cela, l’alerte migre vers le graphique des alertes fermées.

Âge des alertes

La métrique Âge des alertes est l’âge moyen de toutes les alertes toujours ouvertes à la fin de la période choisie.

L’âge de chaque alerte ouverte est calculé en soustrayant la date à laquelle l’alerte a été créée à partir de la date à laquelle la période choisie se termine. Pour les alertes rouvertes, l’âge est calculé en soustrayant la date de création d’origine plutôt que la date à laquelle l’alerte a été rouverte.

Alertes réouvertes

La métrique « Alertes rouvertes » correspond au nombre total d’alertes ouvertes qui ont été rouvertes pendant la période choisie. Seules les alertes ouvertes à la fin de la période de rapport sont signalées. Cela inclut les éléments suivants :

  • Alertes qui ont été fermées dès le jour avant la période choisie et qui restent ouvertes à la fin de la période.
  • Alertes nouvellement créées qui ont été fermées, puis rouvertes, pendant la période choisie.
  • Alertes qui ont été ouvertes au début de la période choisie, mais fermées, puis rouvertes au cours de la même période.

Secrets ignorés ou bloqués

La métrique « Secrets ignorés » indique le ratio des secrets contournés par le nombre total de secrets bloqués par la protection Push.

Vous pouvez également voir combien de secrets ont été bloqués, ce qui est calculé en soustrayant le nombre de secrets ignorés du nombre total de secrets bloqués par la protection push. Un secret est considéré comme ayant été bloqué correctement lorsqu’il a été corrigé et non validé dans le référentiel.

Vous pouvez cliquer sur Afficher les détails pour afficher le rapport secret scanning avec les mêmes filtres et la même période sélectionnés.

Pour plus d'informations sur les mesures de protection push secret scanning, consultez Affichage des mesures pour la protection par poussée de l'analyse secrète.

Tableau d’analyse d’impact

Le tableau d'analyse d'impact comporte des onglets distincts présentant les données pour : « Dépôts », « Avis » et « Vulnérabilités SAST ».

  • L’onglet « Référentiels » affiche les 10 premiers référentiels avec les alertes les plus ouvertes à la fin de la période choisie, classés par le nombre total d’alertes ouvertes. Pour chaque référentiel, le nombre total d’alertes ouvertes s’affiche en même temps qu’une répartition par gravité.

  • L’onglet « Avis » affiche les 10 avis CVE qui ont déclenché les alertes les plus Dependabot à la fin de la période choisie, classées par le nombre total d’alertes ouvertes. Pour chaque référentiel, le nombre total d’alertes ouvertes s’affiche en même temps qu’une répartition par gravité.

  • L’onglet « Vulnérabilités SAST » affiche les 10 vulnérabilités de test de sécurité des applications statiques (SAST) qui ont déclenché les alertes les plus code scanning, classées par le nombre total d’alertes ouvertes. Pour chaque vulnérabilité, le nombre total d'alertes ouvertes est indiqué avec une note de gravité.

Tabulation Correction

  •         [Alertes fermées au fil du temps](#closed-alerts-over-time)

  •         [Temps moyen de correction](#mean-time-to-remediate)

  •         [Taux de résolution net](#net-resolve-rate)

  •         [Graphique d’activité d’alerte](#alert-activity-graph)

Alertes fermées au fil du temps

Le graphique « Alertes clôturées au fil du temps » montre l'évolution du nombre d'alertes clôturées dans votre organisation ou entreprise au cours de la période choisie. Par défaut, les alertes sont regroupées par gravité. Vous pouvez modifier la façon dont les alertes sont regroupées.

Les alertes fermées incluent les alertes de sécurité qui ont été correctement corrigées ou ignorées avant ou pendant la période choisie. Les alertes fermées pendant la période sont représentées sur le graphique à leur date fermée, tandis que les alertes corrigées ou ignorées avant la période choisie sont représentées au début de la période.

Temps moyen de correction

La métrique Temps moyen de correction correspond à l’âge moyen de toutes les alertes qui ont été corrigées ou ignorées au cours de la période choisie. Les alertes qui ont été fermées en tant que « faux positif » sont exclues.

L’âge de chaque alerte fermée est calculé en soustrayant la date à laquelle l’alerte a été créée à partir de la date à laquelle l’alerte a été fermée pour la dernière fois dans la période choisie. Pour les alertes rouvertes, l’âge est calculé en soustrayant la date de création d’origine plutôt que la date à laquelle l’alerte a été rouverte.

Taux de résolution net

La métrique Taux de résolution net est le taux auquel les alertes sont fermées. Cette métrique est similaire à la mesure de la « vitesse du développeur », reflétant la vitesse et l’efficacité avec lesquelles les alertes sont résolues.

Le taux est calculé en divisant le nombre d’alertes qui ont été fermées et conservées pendant la période choisie, par le nombre d’alertes créées pendant la période.

Remarque

Le taux de résolution net prend en compte toutes les alertes nouvelles et fermées pendant la période choisie. Cela signifie que l’ensemble de nouvelles alertes et l’ensemble d’alertes fermées utilisés pour le calcul ne correspondent pas nécessairement, car ils peuvent représenter différentes populations d’alertes.

Les alertes qui sont rouvertes et fermées à nouveau pendant la période choisie sont ignorées.

Graphique d’activité d’alerte

En développant le graphique des tendances d’alerte, le graphique d’activité d’alerte vous montre les flux d’alerte et les flux sortants au cours de votre période choisie.

Les barres vertes représentent le nombre de nouvelles alertes créées pendant la période segmentée. Les barres violettes représentent le nombre d’alertes qui ont été fermées pendant la période segmentée. La ligne pointillée bleue représente l’activité d’alerte nette, qui est la différence entre les alertes nouvelles et fermées.

Tabulation Prévention

Remarque

Contrairement aux onglets Détection et Correction qui signalent les alertes sur la branche par défaut, l'onglet Prévention vous donne des informations sur les alertes CodeQL trouvées dans les demandes de tirage (pull request) fusionnées.

  •         [Introduit contre empêché](#introduced-versus-prevented)

  •         [Vulnérabilités corrigées dans les demandes de tirage (pull request)](#vulnerabilities-fixed-in-pull-requests)

  •         [Suggestions Copilot correction automatique](##pull-request-alerts-fixed-with-copilot-autofix-suggestions)

Introduit contre empêché

Le graphique « Introduit contre empêché» montre le nombre cumulé de vulnérabilités détectées dans le flux de travail du développeur par rapport aux vulnérabilités introduites dans votre organisation ou entreprise au cours de la période choisie. Les vulnérabilités évitées sont définies comme le nombre d'alertes de demandes de tirage (pull request) détectées par CodeQL qui ont été corrigées pour les demande de tirage (pull request) fusionnées. Les vulnérabilités introduites sont le nombre de nouvelles alertes de demande de tirage (pull request) détectées par CodeQL qui ont été rejetées comme « Risque accepté » ou qui n'étaient pas résolues au moment où la demande de tirage (pull request) a été fusionnée.

Les dates des alertes évitées sont basées sur la date à laquelle les alertes ont été corrigées, et les dates des alertes introduites sont basées sur la date à laquelle les alertes ont été créées.

Vulnérabilités corrigées dans les demandes de tirage (pull request)

La métrique « Vulnérabilités corrigées dans les demandes de tirage (pull request) » montre le nombre d'alertes de demande de tirage (pull request) détectées par CodeQL ou secret scanning avec une raison proche de  «Corrigé » qui sont liées à une demande d'extraction fusionnée.