Avaliando o risco de segurança do seu código

Você pode usar a visão geral de segurança para ver quais equipes e repositórios são afetados por alertas de segurança e identificar repositórios para uma ação corretiva urgente.

Quem pode usar esse recurso?

O acesso requer:

  • Exibições da organização: acesso para gravação a repositórios na organização
  • Exibições corporativas: proprietários da organização e gerentes de segurança

Neste artigo

Explorando os riscos de segurança em seu código

Você pode usar as diferentes exibições na guia Segurança para explorar os riscos de segurança em seu código.

  •         **Visão geral:** use para explorar tendências em **Detecção**, **Correção** e **Prevenção** de alertas de segurança.

  •           **Risco:** use para explorar o estado atual dos repositórios em todos os tipos de alerta.

  •         **Avaliações:** usar para explorar especificamente o estado atual dos repositórios para vazamentos de segredos

  •           **Exibições de alertas:** use para explorar alertas da code scanning, do Dependabot ou da secret scanning com mais detalhes.

Essas exibições fornecem os dados e filtros para:

  • Avalie o cenário de risco de segurança do código armazenado em todos os seus repositórios.
  • Identificar as vulnerabilidades de maior impacto a serem abordadas.
  • Monitore seu progresso na correção de possíveis vulnerabilidades.
  • Entenda como sua organização é afetada por vazamentos e exposições de segredos.
  • Exportar sua seleção atual de dados para análise e relatórios adicionais.

Para obter mais informações sobre a Visão Geral, consulte Exibir insights de segurança.

Exibindo riscos de segurança em nível organizacional no código

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique em Security.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Para mostrar a exibição "Risco de segurança", clique em Risk. na barra lateral.

  4. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira Visão geral da filtragem de alertas na segurança.

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes.
    • Clique em NÚMERO afetado ou NÚMERO não afetado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com ou sem alertas abertos desse tipo.
    • Clique em qualquer uma das descrições de "Abrir alertas" no cabeçalho para mostrar apenas repositórios com alertas desse tipo e categoria. Por exemplo, 1 crítico para mostrar o repositório com um alerta crítico para Dependabot.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Captura de tela da visualização "Risco de Segurança" de uma organização. As opções de filtro estão contornadas em laranja-escuro.

    Observação

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. Opcionalmente, use a barra lateral à esquerda para explorar alertas para um recurso de segurança específico com mais detalhes. Em cada página, é possível usar filtros específicos para o recurso e ajustar sua pesquisa.

  6. Opcionalmente, use o botão Export CSV para baixar um arquivo CSV dos dados exibidos atualmente na página para pesquisa de segurança e análise de dados detalhada. Para saber mais, confira Exportando dados da visão geral de segurança.

Observação

As exibições de resumo ("Overview", "Coverage" e "Risk") mostram somente dados de alertas padrão. Alertas do Secret scanning para diretórios ignorados e alertas de não provedor são omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.

Exibindo riscos de segurança no nível empresarial no código

Você pode exibir dados para alertas de segurança entre organizações em uma empresa.

Dica

Use o filtro owner no campo de pesquisa para filtrar os dados por organização. Se você tiver propriedade de um empresa com usuários gerenciados, poderá usar o filtro owner-type para filtrar os dados pelo tipo de proprietário do repositório e poderá exibir dados de repositórios de propriedade da organização ou do usuário. Para obter mais informações, confira Visão geral da filtragem de alertas na segurança.

  1. Navegue até GitHub Enterprise Cloud.

  2. No canto superior direito do GitHub, selecione sua foto de perfil.

  3. Dependendo do seu ambiente, clique em Enterprise ou clique em Empresas e, em seguida, clique na empresa que você deseja exibir. 1. Na parte superior da página, clique em Security.

  4. Para mostrar a exibição "Risco de segurança", clique em Risk. na barra lateral.

  5. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira Visão geral da filtragem de alertas na segurança.

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes.
    • Clique em NÚMERO afetado ou NÚMERO não afetado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com ou sem alertas abertos desse tipo.
    • Clique em qualquer uma das descrições de "Abrir alertas" no cabeçalho para mostrar apenas repositórios com alertas desse tipo e categoria. Por exemplo, 1 crítico para mostrar o repositório com um alerta crítico para Dependabot.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Captura de tela da exibição Risco de Segurança de uma empresa. As opções de filtro estão contornadas em laranja-escuro.

    Observação

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  6. Opcionalmente, use a barra lateral à esquerda para explorar alertas para um recurso de segurança específico com mais detalhes. Em cada página, é possível usar filtros específicos para o recurso e ajustar sua pesquisa.

  7. Opcionalmente, use o botão Export CSV para baixar um arquivo CSV dos dados exibidos atualmente na página para pesquisa de segurança e análise de dados detalhada. Para saber mais, confira Exportando dados da visão geral de segurança.

Observação

As exibições de resumo ("Overview", "Coverage" e "Risk") mostram somente dados de alertas padrão. Alertas do Secret scanning para diretórios ignorados e alertas de não provedor são omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.

Próximas etapas

Depois de avaliar os riscos de segurança, você estará pronto para criar uma campanha de segurança para colaborar com os desenvolvedores para corrigir alertas. Para obter informações sobre como corrigir alertas de segurança em escala, confira Criando e gerenciando campanhas de segurança e Executando uma campanha de segurança para corrigir alertas em escala.