La información general sobre seguridad contiene vistas centradas en las que puede explorar tendencias en la detección, corrección y prevención de alertas de seguridad y profundizar en el estado actual de los código base.
- Se muestra la información de las características y alertas de Dependabot para todos los repositorios.
- La información de las características de GitHub Advanced Security, como code scanning y secret scanning, solo se muestra para empresas que usan GitHub Advanced Security y para repositorios públicos.
Para obtener más información, vea «Acerca de las alertas Dependabot» y «Acerca de GitHub Advanced Security».
Acerca de las vistas
Note
Todas las vistas muestran información y métricas para las ramas predeterminadas de los repositorios que tiene permiso para ver en una organización o empresa.
Las vistas son interactivas con filtros que permiten examinar los datos agregados en detalle e identificar orígenes de alto riesgo, ver las tendencias de seguridad y ver el impacto del análisis de solicitudes de cambios sobre el bloqueo de vulnerabilidades de seguridad que entran en el código. A medida que se aplican varios filtros para centrarse en áreas de interés más restringidas, todos los datos y métricas de la vista cambian para reflejar su selección actual. Para obtener más información, vea «Filtrar alertas en la información general sobre seguridad».
Desde la información general sobre seguridad, puede descargar archivos de valores separados por comas (CSV) que contienen datos de las páginas "Overview", "Risk", "Coverage" y "CodeQL pull request alerts" de la información general sobre seguridad de su organización o empresa. Estos archivos de datos se pueden usar para trabajos de investigación de seguridad y el análisis detallado de datos y se puede integrar fácilmente con conjuntos de datos externos. Para obtener más información, consulte “Exportación de datos desde la información general sobre seguridad”.
Hay vistas dedicadas para cada tipo de alerta de seguridad. Puede limitar el análisis a un tipo específico de alerta y reducir los resultados aún más con un rango de filtros específico para cada vista. Por ejemplo, en la vista de alertas secret scanning, puedes usar el filtro "Tipo de secreto" para ver solo alertas de examen de secretos de un secreto en particular, como un GitHub personal access token.
Note
La información general sobre seguridad muestra alertas activas que generan las características de seguridad. Si no se muestran alertas en la información general de seguridad de un repositorio, es posible que todavía existan vulnerabilidades de seguridad o errores de código no detectados o que la característica no esté habilitada para ese repositorio.
Información general sobre la seguridad de las organizaciones
El equipo de seguridad de aplicaciones de tu compañía puede utilizar las diferentes vistas tanto para los análisis específicos como para los generales del estado de seguridad de tu organización. Por ejemplo, el equipo puede utilizar la vista del panel "Información general" para realizar un seguimiento del panorama y el progreso de la seguridad de su organización.
Puedes encontrar la información general sobre seguridad en la pestaña Seguridad de cualquier organización. Cada vista muestra un resumen de los datos a los que tiene acceso. A medida que agrega filtros, todos los datos y métricas en la vista cambian para reflejar los repositorios o alertas que ha seleccionado. Para obtener información sobre los permisos, consulte "Permiso para ver los datos en la información general de seguridad".
La información general de seguridad tiene varias vistas que proporcionan diferentes maneras de explorar los datos de habilitación y alerta.
- Información general: visualice las tendencias en Detección, Corrección y Prevención de alertas de seguridad; consulte "Visualización de información de seguridad".
- Vistas de riesgo y alertas: explore el riesgo de alertas de seguridad de todos los tipos o céntrese en un solo tipo de alerta e identifique el riesgo de dependencias vulnerables específicas, debilidades de código o secretos filtrados; consulte "Evaluación del riesgo de seguridad del código".
- Cobertura: evalúe la adopción de características de seguridad de código en los repositorios de la organización; consulte "Evaluación de la adopción de características de seguridad de código".
- Tendencias de habilitación: vea la rapidez con la que diferentes equipos adoptan características de seguridad.
- Alertas de solicitud de cambios de CodeQL: evalúe el impacto de ejecutar CodeQL en las solicitudes de cambios y cómo los equipos de desarrollo resuelven las alertas de análisis de código; consulte "Visualización de métricas para alertas de solicitud de incorporación de cambios".
- Análisis de secretos: averigüe qué tipos de secretos están bloqueados por la protección inserción y qué equipos omiten la protección de inserción; consulte "Visualización de las métricas para la protección de la inserción del examen de secretos" y "Revisión de solicitudes para omitir la protección de inserción".
También crearás y administrarás campañas de seguridad para resolver alertas a partir de información general de seguridad. Consulta "Creación y seguimiento de campañas de seguridad" y "Procedimientos recomendados para resolver alertas de seguridad a gran escala".
Información general sobre la seguridad para empresas
Puede encontrar la información general de seguridad en la pestaña Seguridad del código de su empresa. Cada página muestra información de seguridad agregada y específica del repositorio para la empresa.
Al igual que con la información general sobre seguridad de las organizaciones, la información general sobre seguridad de las empresas tiene varias vistas que proporcionan diferentes formas de explorar los datos.
Para obtener información sobre los permisos, consulte "Permiso para ver los datos en la información general de seguridad".
Permiso para ver los datos en la información general de seguridad
Información general de nivel de organización
Si es propietario o administrador de seguridad de una organización, puede ver los datos de todos los repositorios de la organización en todas las vistas.
Si es miembro de la organización o de un equipo, puede consultar la información general sobre seguridad de la organización y ver los datos de los repositorios a los que tiene un nivel adecuado de acceso.
Miembro de la organización o equipo con | Vista del panel de información general | Vistas de riesgo y alertas | Tipo de cobertura |
---|---|---|---|
Acceso admin a uno o varios repositorios | Visualización de datos para esos repositorios | Visualización de datos para esos repositorios | Vea los datos de esos repositorios |
Acceso write a uno o varios repositorios | Ver datos code scanning y Dependabot para esos repositorios | Ver datos code scanning y Dependabot para esos repositorios | Sin acceso |
Acceso read o triage a uno o varios repositorios | Sin acceso | Sin acceso | Sin acceso |
Acceso a alertas de seguridad para uno o varios repositorios | Visualización de todos los datos de alertas de seguridad para esos repositorios | Visualización de todos los datos de alertas de seguridad para esos repositorios | Sin acceso |
Rol de organización personalizado con permiso para ver uno o varios tipos de alertas de seguridad | Visualización de los datos de alerta permitidos para todos los repositorios | Visualización de los datos de alerta permitidos para todos los repositorios en todas las vistas | Sin acceso |
Note
Para garantizar una experiencia coherente y receptiva, para los miembros de la organización, las páginas de información general sobre seguridad de nivel de organización solo mostrarán los resultados de los 3000 repositorios actualizados más recientemente. Si los resultados se restringen, aparecerá una notificación en la parte superior de la página. Los propietarios de la organización y los administradores de seguridad verán los resultados de todos los repositorios.
Para obtener más información sobre el acceso a alertas de seguridad y vistas relacionadas, vea "Administración de la configuración de seguridad y análisis para el repositorio" y "Acerca de los roles de repositorio personalizados".
Información general de nivel empresarial
Note
Si es propietario de la empresa, deberá unirse a una organización como propietario de la organización para ver los datos de los repositorios de la organización en la información general de nivel de organización y de empresa. Solo las personas con permisos de administrador en el repositorio que contienen un secreto filtrado pueden ver los detalles de alerta de seguridad y los metadatos del token de una alerta. Los propietarios de empresas pueden solicitar acceso temporal al repositorio para este fin. Para obtener más información, consulte "Administración del rol en una organización que pertenece a la empresa".
En la información general sobre seguridad de nivel de empresa, puede ver los datos de todas las organizaciones en las que es propietario de la organización o administrador de seguridad. Para obtener más información, consulta "Administración de las características de GitHub Advanced Security para la empresa".
Si es propietario de un empresa con usuarios administrados, puede ver los datos de repositorios propiedad del usuario en información general sobre seguridad y filtrar por tipo de propietario del repositorio. Para obtener más información sobre cuentas de usuario administradas, consulte "Acerca de Enterprise Managed Users".