Como acompanhar as campanhas de segurança

Use as visões de monitoramento de campanha para monitorar o progresso das ações de correção, identificar trabalhos estagnados e medir o impacto na organização como um todo.

Quem pode usar esse recurso?

Proprietários da organização, gerentes de segurança e membros da organização com a função de administrador

Organizações no GitHub Team ou GitHub Enterprise Cloud com o GitHub Secret Protection or GitHub Code Security habilitado

Neste artigo

Observação

Campanhas para alertas do secret scanning estão em versão prévia pública e estão sujeitas a alterações.

Acompanhando campanhas em sua organização

A visualização de acompanhamento ajuda você a avaliar rapidamente a saúde das campanhas da sua organização. Você pode usá-lo para identificar campanhas com um alto número de alertas abertos, verificar se o trabalho foi iniciado e determinar se as campanhas estão no caminho certo para cumprir suas datas de conclusão.

Para ver a exibição de acompanhamento da campanha, navegue até a guia Security para a organização e, na barra lateral esquerda, clique em Campaigns. Para exibir campanhas de segredos, clique na guia Segredos na parte superior da página.

Captura de tela da página de visão geral das campanhas de segurança. A guia da campanha "Secrets" está contornada em laranja.

A exibição de acompanhamento mostra um resumo das campanhas "Abertas" e "Fechadas", com a contagem total de alertas em todas as campanhas desse tipo. A exibição divide a contagem total de alertas nos seguintes status de alerta:

  •         **Aberto**: o alerta ainda está ativo e não foi resolvido.

  •         **Em andamento** (somente campanhas de código): o trabalho para corrigir o alerta foi iniciado — pelo menos uma ramificação ou solicitação de pull foi criada na página de alerta ou de exibição da campanha.

  •         **Corrigido**: o alerta foi resolvido, dentro ou fora do fluxo de trabalho da campanha.

  •         **Descartado**: o alerta foi revisado, mas não foi corrigido intencionalmente. Ele foi ignorado.

Examine a proporção de alertas em cada status para entender onde a ação é necessária. Um alto número de alertas abertos pode indicar que a correção ainda não foi iniciada, enquanto um número baixo de alertas em andamento pode sinalizar que as equipes precisam de orientação ou priorização adicionais.

Acompanhando apenas uma campanha

De maneira semelhante, você pode acompanhar como uma campanha está progredindo exibindo a página de acompanhamento da campanha.

Para exibir a página de acompanhamento de uma campanha, navegue até a página "Campaigns", selecione campanhas do tipo Code ou Secrets e selecione a campanha que deseja exibir na lista de campanhas.

Captura de tela da exibição de acompanhamento de campanha em “Como testar campanhas para o CodeQL”. O progresso da campanha está contornado em laranja-escuro.

O modo de exibição de acompanhamento de uma única campanha ajuda você a avaliar se a correção está progredindo conforme o esperado e se o acompanhamento adicional é necessário.

Os indicadores a seguir ajudam a avaliar se a correção está progredindo conforme o esperado e se o acompanhamento adicional é necessário.

  •         **Progresso da campanha**: quantos alertas estão fechados (corrigidos ou descartados), em andamento ou ainda aguardam revisão.

  •         **Status**: como a campanha está progredindo rumo a sua data de conclusão.

  •         **Autofixo do Copilot** (somente campanhas de código): número de alertas em que o Autofixo do Copilot pode gerar uma correção para resolver o alerta.

Por exemplo, se muitos alertas permanecerem abertos à medida que a data de vencimento se aproxima, talvez seja necessário acompanhar os proprietários do repositório ou ajustar o cronograma da campanha.

Você também pode explorar repositórios de campanha e alertas para identificar quais equipes estão lidando ativamente com alertas e quais podem precisar de acompanhamento.

  •         **Detalhes do repositório:** você pode expandir qualquer repositório para mostrar o progresso na correção de alertas.

  •         **Detalhes do alerta:** você pode definir a opção "Agrupar por" como **Nenhum** para mostrar uma lista de todos os alertas.

Você pode filtrar essas duas exibições para se concentrar em um subconjunto de repositórios ou alertas. Para campanhas de código, todos os alertas em andamento são listados primeiro.