Avaliando a adoção de recursos de segurança

Veja quais equipes e repositórios já habilitaram recursos para codificação segura e identifiquem os que ainda não estão protegidos.

Quem pode usar esse recurso?

O acesso requer:

  • Exibições da organização: acesso para gravação a repositórios na organização
  • Exibições corporativas: proprietários da organização e gerentes de segurança

Neste artigo

Você pode usar a visão geral de segurança para ver quais repositórios e equipes já habilitaram cada recurso de segurança e onde as pessoas precisam de mais incentivo para adotar esses recursos.

Captura de tela da seção do cabeçalho da exibição "Cobertura de Segurança" na guia "Segurança" de uma organização.

Observação

Os "alertas de pull request" serão relatados como habilitados somente quando code scanning tiver analisado pelo menos um pull request desde que os alertas foram habilitados para o repositório.

Exibindo a habilitação de recursos de segurança para uma organização

Você pode exibir dados para avaliar a habilitação de recursos de codificação segura entre repositórios em uma organização.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique em Security.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Para exibir a exibição "Security coverage", na barra lateral, clique em Coverage.

  4. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira Visão geral da filtragem de alertas na segurança.

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes. Para saber mais, confira Gerenciar o acesso da equipe em um repositório da organização.
    • Clique em NÚMERO habilitado ou NÚMERO não habilitado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com esse recurso habilitado ou não habilitado.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

Na lista de repositórios, um rótulo "Pausado" em "Dependabot" indica os repositórios para os quais as atualizações do Dependabot estão pausadas. Para obter informações sobre os critérios de inatividade, confira Sobre as atualizações de segurança do Dependabot e Sobre as atualizações da versão do Dependabot, para atualizações de segurança e versão, respectivamente.

Exibindo a habilitação de recursos de codificação segura em uma empresa

Você pode exibir dados para avaliar a habilitação de recursos de segurança entre organizações em uma empresa.

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa. 1. Na parte superior da página, clique em Security.
  2. Para exibir a exibição "Cobertura de segurança", na barra lateral, clique em Cobertura.
  3. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira Visão geral da filtragem de alertas na segurança.

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes. Para saber mais, confira Gerenciar o acesso da equipe em um repositório da organização.

    • Clique em NÚMERO habilitado ou NÚMERO não habilitado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com esse recurso habilitado ou não habilitado.

    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.

    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Dica

    Use o filtro owner no campo de pesquisa para filtrar os dados por organização. Para obter mais informações, confira Visão geral da filtragem de alertas na segurança.

Você pode exibir dados para avaliar o status de habilitação e as tendências de status de habilitação dos recursos de segurança de uma organização.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique em Security.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral, em "Metrics", clique em Enablement trends.

  4. Clique em uma das guias para "Dependabot", "Code scanning" ou "Secret scanning" para exibir as tendências de habilitação e a porcentagem de repositórios em sua organização com esse recurso habilitado. Esses dados são exibidos como um gráfico e uma tabela detalhada.

  5. Opcionalmente, use as opções na parte superior da página de exibição "Tendências de habilitação" para filtrar o grupo de repositórios para o qual você deseja ver as tendências de habilitação.

    • Use o seletor de data para definir o intervalo de tempo para o qual você deseja exibir tendências de habilitação.

    • Clique na caixa de pesquisa para adicionar mais filtros sobre as tendências de habilitação exibidas. Os filtros que você pode aplicar são os mesmos da exibição "Visão geral" do painel. Para saber mais, confira Visão geral da filtragem de alertas na segurança.

      Captura de tela da exibição "Tendências de habilitação" para uma organização que mostra o status e as tendências do Dependabot ao longo de 30 dias, com um filtro aplicado.

Você pode exibir dados para avaliar o status de habilitação e as tendências de status de habilitação dos recursos de segurança entre organizações em uma empresa.

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa. 1. Na parte superior da página, clique em Security.
  2. Para exibir "Tendências de habilitação", clique em Tendências de habilitação na barra lateral.
  3. Clique em uma das guias para "Dependabot", "Code scanning" ou "Secret scanning" para exibir as tendências de habilitação e a porcentagem de repositórios nas organizações em sua empresa com esse recurso habilitado. Esses dados são exibidos como um gráfico e uma tabela detalhada.
  4. Opcionalmente, use as opções na parte superior da página de exibição "Tendências de habilitação" para filtrar o grupo de repositórios para o qual você deseja ver as tendências de habilitação.
    • Use o seletor de data para definir o intervalo de tempo para o qual você deseja exibir tendências de habilitação.
    • Clique na caixa de pesquisa para adicionar mais filtros sobre as tendências de habilitação exibidas. Para saber mais, confira Visão geral da filtragem de alertas na segurança.

Dica

Use o filtro owner: no campo de pesquisa para filtrar os dados por organização. Para saber mais, confira Visão geral da filtragem de alertas na segurança.

Agindo sobre dados de capacitação

Depois de examinar a cobertura de habilitação, considere as ações a seguir.

  1. Verifique se sua empresa configurou políticas excessivamente restritivas que limitam o uso de recursos de segurança. Confira Como impor políticas para segurança e análise de código na empresa.

  2. Habilite os recursos que devem ser habilitados em todos os repositórios. Para obter informações sobre como ativar recursos para uma organização inteira, consulte Configurando recursos de segurança em sua organização.

    Por exemplo, alertas de escaneamento de segredos e proteção por push reduzem o risco de um vazamento de segurança, quaisquer que sejam as informações armazenadas no repositório. Se você vir repositórios que ainda não usam esses recursos, deverá habilitá-los ou discutir um plano de habilitação com a equipe proprietária do repositório.

  3. Para outros recursos, considere se o recurso deve ser habilitado em mais repositórios. Por exemplo, não faria sentido habilitar o Dependabot para repositórios que usam apenas ecossistemas ou linguagens sem suporte. Dessa forma, é normal ter alguns repositórios em que esses recursos não estão habilitados.

Próximas Etapas 

Você pode usar a visualização "Tendências de habilitação" para ver o status de habilitação e as tendências de status de habilitação ao longo do tempo para Dependabot, code scanning, ou secret scanning em repositórios ou organizações. Consulte Exibindo tendências de habilitação para uma organização ou exibindo tendências de habilitação para uma empresa.