Avaliando o risco de segurança do seu código

Você pode usar a visão geral de segurança para ver quais equipes e repositórios são afetados por alertas de segurança e identificar repositórios para uma ação corretiva urgente.

Quem pode usar esse recurso?

O acesso requer:

  • Exibições da organização: acesso para gravação a repositórios na organização
  • Exibições corporativas: proprietários da organização e gerentes de segurança

Organizações pertencentes a uma conta do GitHub Team com o GitHub Secret Protection or GitHub Code Security, ou pertencentes a uma conta do GitHub Enterprise

Neste artigo

Explorando os riscos de segurança em seu código

Você pode usar as diferentes visões em sua Security and quality guia para explorar os riscos de segurança em seu código.

  •         **Visão geral:** use para explorar tendências em **Detecção**, **Correção** e **Prevenção** de alertas de segurança.

  •         **Risco:** use para explorar o estado atual dos repositórios em todos os tipos de alerta.

  •         **Avaliações:** use para explorar o estado atual dos repositórios, especificamente para vazamentos de segredos

  •         **Descobertas:** use para explorar code scanning, Dependabotou secret scanning alertas com mais detalhes.

Essas exibições fornecem os dados e filtros para:

  • Avalie o cenário de risco de segurança do código armazenado em todos os seus repositórios.
  • Identificar as vulnerabilidades de maior impacto a serem abordadas.
  • Monitore seu progresso na correção de possíveis vulnerabilidades.
  • Entenda como sua organização é afetada por vazamentos e exposições secretas.
  • Exportar sua seleção atual de dados para análise e relatórios adicionais.

Para obter mais informações sobre a Visão Geral, consulte Exibir insights de segurança.

Exibindo riscos de segurança em nível organizacional no código

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique na Security and quality aba.

  3. Para mostrar a exibição "Risco de segurança", clique em Risk. na barra lateral.

  4. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira Visão geral da filtragem de alertas na segurança.

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes.
    • Clique em NÚMERO afetado ou NÚMERO não afetado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com ou sem alertas abertos desse tipo.
    • Clique em qualquer uma das descrições de "Abrir alertas" no cabeçalho para mostrar apenas repositórios com alertas desse tipo e categoria. Por exemplo, 1 crítico para mostrar o repositório com um alerta crítico para Dependabot.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Captura de tela da visualização "Risco de Segurança" de uma organização. As opções de filtro estão contornadas em laranja-escuro.

    Observação

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

           1. Opcionalmente, use a barra lateral à esquerda para explorar alertas para um recurso de segurança específico com mais detalhes. Em cada página, é possível usar filtros específicos para o recurso e ajustar sua pesquisa.

  5. Opcionalmente, use o botão Exportar CSV para baixar um arquivo CSV dos dados exibidos atualmente na página para pesquisa de segurança e análise detalhada de dados. Para saber mais, confira Exportando dados da visão geral de segurança.

Observação

As exibições de resumo ("Overview", "Coverage" e "Risk") mostram somente dados de alertas padrão. Alertas do Secret scanning para diretórios ignorados e alertas de não provedor são omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.

Exibindo riscos de segurança no nível empresarial no código

Você pode exibir dados para alertas de segurança entre organizações em uma empresa.

Dica

Use o filtro owner no campo de pesquisa para filtrar os dados por organização. Para obter mais informações, confira Visão geral da filtragem de alertas na segurança.

  1. Navegue até GitHub Enterprise Cloud.

  2. No canto superior direito do GitHub, selecione sua foto de perfil.

  3. Dependendo do seu ambiente, clique em Enterprise ou clique em Empresas e, em seguida, clique na empresa que você deseja exibir.

  4.        Na parte superior da página, clique na **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** guia.

  5. Para exibir a exibição "Risco de segurança", na barra lateral, clique em Risco.

  6. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira Visão geral da filtragem de alertas na segurança.

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes.
    • Clique em NÚMERO afetado ou NÚMERO não afetado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com ou sem alertas abertos desse tipo.
    • Clique em qualquer uma das descrições de "Abrir alertas" no cabeçalho para mostrar apenas repositórios com alertas desse tipo e categoria. Por exemplo, 1 crítico para mostrar o repositório com um alerta crítico para Dependabot.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Captura de tela da exibição Risco de Segurança de uma empresa. As opções de filtro estão contornadas em laranja-escuro.

    Observação

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  7. Opcionalmente, use a barra lateral à esquerda para explorar alertas para um recurso de segurança específico com mais detalhes. Em cada página, é possível usar filtros específicos para o recurso e ajustar sua pesquisa.

  8. Opcionalmente, use o botão Exportar CSV para baixar um arquivo CSV dos dados exibidos atualmente na página para pesquisa de segurança e análise detalhada de dados. Para saber mais, confira Exportando dados da visão geral de segurança.

Observação

As exibições de resumo ("Overview", "Coverage" e "Risk") mostram somente dados de alertas padrão. Alertas do Secret scanning para diretórios ignorados e alertas de não provedor são omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.

Próximas etapas

Depois de avaliar os riscos de segurança, você estará pronto para criar uma campanha de segurança para colaborar com os desenvolvedores para corrigir alertas. Para obter informações sobre como corrigir alertas de segurança em escala, confira Criando e gerenciando campanhas de segurança e Executando uma campanha de segurança para corrigir alertas em escala.