Evaluación del riesgo de seguridad del código

Puede usar información general sobre seguridad para ver qué equipos y repositorios se ven afectados por las alertas de seguridad e identificar repositorios para una acción correctiva urgente.

¿Quién puede utilizar esta característica?

El acceso requiere:

  • Vistas de la organización: acceso de escritura a repositorios de la organización
  • Vistas de la empresa: propietarios de la organización y administradores de seguridad

En este artículo

Exploración de los riesgos de seguridad en el código

Puede usar las distintas vistas de la pestaña Seguridad para explorar los riesgos de seguridad en el código.

  • Información general: se usa para explorar las tendencias de detección, corrección y prevención de alertas de seguridad.
  • Riesgo: se usa para explorar el estado actual de los repositorios, en todos los tipos de alertas.
  • Vistas de alertas: se usa para explorar las alertas de code scanning, Dependabot o secret scanning con mayor detalle.

Estas vistas proporcionan los datos y filtros para:

  • Evaluar el panorama de la seguridad del código en todos los repositorios.
  • Identificar las vulnerabilidades de mayor impacto que se van a abordar.
  • Supervisar el progreso en la corrección de posibles vulnerabilidades.
  • Exporte la selección actual de datos para realizar análisis e informes adicionales.

Para obtener información sobre la información general, consulta Visualización de información de seguridad.

Visualización de los riesgos de seguridad de código de nivel de organización

  1. En GitHub, navega a la página principal de tu organización.

  2. En el nombre de la organización, haga clic en Seguridad .

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. Para mostrar la vista "Riesgo de seguridad", en la barra lateral, haga clic en Riesgo .

  4. Use las opciones del resumen de la página para filtrar los resultados y mostrar los repositorios que desea evaluar. La lista de repositorios y métricas que se muestran en la página se actualizan automáticamente para que coincidan con la selección actual. Para obtener más información sobre los filtros, consulte "Filtrar alertas en la información general sobre seguridad."

    • Use el menú desplegable Teams para mostrar información solo para los repositorios que pertenecen a uno o varios equipos.
    • Haga clic en NUMBER afectado o NUMBER no afectado en el encabezado de cualquier característica para mostrar solo los repositorios con o sin alertas abiertas de ese tipo.
    • Haga clic en cualquiera de las descripciones de "Abrir alertas" en el encabezado para mostrar solo repositorios con alertas de ese tipo y categoría. Por ejemplo, 1 crítica para mostrar el repositorio con una alerta crítica para Dependabot.
    • En la parte superior de la lista de repositorios, haga clic en NUMBER archivado para mostrar solo los repositorios archivados.
    • Haga clic en el cuadro de búsqueda para agregar más filtros a los repositorios que se muestran.

    Captura de pantalla de la vista “Riesgo de seguridad” para una organización. Las opciones de filtrado están resaltadas en naranja oscuro.

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. Opcionalmente, use la barra lateral de la izquierda para explorar las alertas de una característica de seguridad específica con mayor detalle. En cada página, puede utilizar filtros que sean específicos para dicha característica para refinar la búsqueda. Para más información sobre los calificadores disponibles, consulta "Filtrar alertas en la información general sobre seguridad".

  6. Opcionalmente, use el botón Exportar CSV para descargar un archivo CSV de los datos que se muestran actualmente en la página para la investigación de seguridad y el análisis detallado de datos. Para más información, consulta Exportación de datos desde la información general sobre seguridad.

Note

Las vistas de resumen ("Información general", "Cobertura" y "Riesgo") solo muestran datos para alertas predeterminadas. Las alertas Secret scanning de directorios ignorados, así como las que no son de proveedores se omiten en estas vistas. Por lo tanto, las vistas de alerta individuales pueden incluir un mayor número de alertas abiertas y cerradas.

Visualización de los riesgos de seguridad de código de nivel empresarial

Puedes ver los datos de las alertas de seguridad en todas las organizaciones de una empresa.

Tip

Puedes usar el filtro owner en el campo de búsqueda para filtrar los datos por organización. Si es propietario de un empresa con usuarios administrados, puede usar el filtro owner-type para filtrar los datos por el tipo de propietario del repositorio, de modo que pueda ver datos de repositorios propiedad de la organización o repositorios propiedad del usuario. Para obtener más información, consulta "Filtrar alertas en la información general sobre seguridad".

  1. Vaya a GitHub Enterprise Cloud.

  2. En la esquina superior derecha de GitHub, haga clic en su foto de perfil y, a continuación, en Sus empresas.

  3. En la lista de empresas, da clic en aquella que quieras ver. 1. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Seguridad de código.

  4. Para mostrar la vista "Riesgo de seguridad", en la barra lateral, haga clic en Riesgo .

  5. Use las opciones del resumen de la página para filtrar los resultados y mostrar los repositorios que desea evaluar. La lista de repositorios y métricas que se muestran en la página se actualizan automáticamente para que coincidan con la selección actual. Para obtener más información sobre los filtros, consulte "Filtrar alertas en la información general sobre seguridad."

    • Use el menú desplegable Teams para mostrar información solo para los repositorios que pertenecen a uno o varios equipos.
    • Haga clic en NUMBER afectado o NUMBER no afectado en el encabezado de cualquier característica para mostrar solo los repositorios con o sin alertas abiertas de ese tipo.
    • Haga clic en cualquiera de las descripciones de "Abrir alertas" en el encabezado para mostrar solo repositorios con alertas de ese tipo y categoría. Por ejemplo, 1 crítica para mostrar el repositorio con una alerta crítica para Dependabot.
    • En la parte superior de la lista de repositorios, haga clic en NUMBER archivado para mostrar solo los repositorios archivados.
    • Haga clic en el cuadro de búsqueda para agregar más filtros a los repositorios que se muestran.

    Captura de pantalla de la vista "Riesgo de seguridad" de una empresa. Las opciones de filtrado están resaltadas en naranja oscuro.

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  6. Opcionalmente, use la barra lateral de la izquierda para explorar las alertas de una característica de seguridad específica con mayor detalle. En cada página, puede utilizar filtros que sean específicos para dicha característica para refinar la búsqueda. Para más información sobre los calificadores disponibles, consulta "Filtrar alertas en la información general sobre seguridad".

  7. Opcionalmente, use el botón Exportar CSV para descargar un archivo CSV de los datos que se muestran actualmente en la página para la investigación de seguridad y el análisis detallado de datos. Para más información, consulta Exportación de datos desde la información general sobre seguridad.

Note

Las vistas de resumen ("Información general", "Cobertura" y "Riesgo") solo muestran datos para alertas predeterminadas. Las alertas Secret scanning de directorios ignorados, así como las que no son de proveedores se omiten en estas vistas. Por lo tanto, las vistas de alerta individuales pueden incluir un mayor número de alertas abiertas y cerradas.

Pasos siguientes

Cuando hayas evaluado los riesgos de seguridad del código, estarás listo para crear una campaña de seguridad para colaborar con los desarrolladores en la corrección de alertas. Para obtener información sobre cómo resolver alertas de seguridad a gran escala, consulta Creación y seguimiento de campañas de seguridad y Procedimientos recomendados para resolver alertas de seguridad a gran escala.