Interpretando descobertas de segurança

Você pode analisar dados de segurança em repositórios em sua organização para determinar se precisa fazer alterações em sua configuração de segurança.

Quem pode usar esse recurso?

Proprietários da organização, gerentes de segurança e membros da organização com a função de administrador

Neste artigo

Sobre descobertas de segurança

Depois de aplicar um security configuration a um repositório, os recursos de segurança habilitados provavelmente aumentarão as descobertas de segurança nesse repositório. Essas descobertas podem aparecer como alertas específicos de recursos ou como pull requests gerados automaticamente projetados para manter seu repositório seguro. Para proteger melhor sua organização, você deve incentivar os colaboradores desses repositórios a examinar e resolver esses alertas e pull requests. Você pode analisar as descobertas em toda a organização e fazer os ajustes necessários em sua security configuration.

Localizando repositórios com alertas de segurança usando a visão geral de segurança

As informações mostradas pela visão geral de segurança variam de acordo com seu acesso a repositórios e organizações e de acordo com o uso de GitHub Advanced Security por esses repositórios e organizações. Para obter mais informações, confira "Sobre a visão geral de segurança".

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Por padrão, a visão geral mostra alertas para todas as ferramentas do GitHub nativas (filtro: tool:github). Para exibir alertas para uma ferramenta específica, substitua tool:github na caixa de texto do filtro. Por exemplo:

    • tool:dependabot para mostrar apenas alertas para dependências identificadas pelo Dependabot.
    • tool:secret-scanning para mostrar apenas alertas para segredos identificados pela secret scanning.
    • tool:codeql para mostrar apenas alertas para possíveis vulnerabilidades de segurança identificadas pelo CodeQL code scanning.

  4. Você pode adicionar mais filtros para mostrar apenas os repositórios que deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira "Visão geral da filtragem de alertas na segurança."

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes.
    • Clique em NÚMERO afetado ou NÚMERO não afetado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com ou sem alertas abertos desse tipo.
    • Clique em qualquer uma das descrições de "Abrir alertas" no cabeçalho para mostrar apenas repositórios com alertas desse tipo e categoria. Por exemplo, 1 crítico para mostrar o repositório com um alerta crítico para Dependabot.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.

  5. Opcionalmente, use a barra lateral à esquerda para explorar alertas para um recurso de segurança específico com mais detalhes. Em cada página, é possível usar filtros específicos para o recurso e ajustar sua pesquisa. Para saber mais sobre os qualificadores disponíveis, confira "Visão geral da filtragem de alertas na segurança".

Interpretando alertas de secret scanning

O Secret scanning é uma ferramenta de segurança que verifica todo o histórico do Git dos repositórios, bem como problemas, pull requests e discussões nesses repositórios, em busca de segredos vazados que tenham sido acidentalmente confirmados, como tokens ou chaves privadas. Há dois tipos de alertas de secret scanning:

  • Alertas de verificação de segredo para parceiros, que são enviadas ao provedor que emitiu o segredo
  • Alertas de verificação de segredo para usuários, que aparecem em GitHub Enterprise Cloud e podem ser resolvidos

Você pode visualizar alertas de secret scanning para uma organização navegando até a página principal dessa organização, clicando na guia Segurança e, em seguida, clicando em Secret scanning.

Para obter uma introdução a alertas de secret scanning, confira "Sobre alertas secretos de verificação."

Para saber como avaliar alertas da secret scanning, consulte "Avaliando alertas da verificação de segredos".

Interpretando alertas de code scanning

A Code scanning é um recurso que você usa para analisar o código em um repositório GitHub para encontrar vulnerabilidades de segurança e erros de codificação. Os problemas que forem identificados pela análise serão mostrados em seu repositório. Esses problemas são gerados como alertas code scanning, que contêm informações detalhadas sobre a vulnerabilidade ou erro detectado.

Você pode visualizar os alertas de code scanning para uma organização navegando até a página principal dessa organização, clicando na guia Segurança e, em seguida, clicando em Secret scanning.

Para obter uma introdução a alertas code scanning, confira "Sobre alertas de digitalização de códigos."

Aprenda como interpretar e resolver alertas da code scanning, consulte "Avaliar alertas de verificação de código para seu repositório" e "Resolvendo alertas de varredura de código".

Interpretando Dependabot alerts

Os Dependabot alerts informam você sobre vulnerabilidades nas dependências usadas em repositórios na sua organização. Você pode visualizar Dependabot alerts para uma organização navegando até a página principal dessa organização, clicando na guia Segurança e, em seguida, clicando em Dependabot.

Para obter uma introdução a Dependabot alerts, confira "Sobre alertas do Dependabot."

Aprenda como interpretar e resolver Dependabot alerts, consulte "Visualizando e atualizando alertas do Dependabot."

Nota: Se você ativou Dependabot security updates, o Dependabot também poderá gerar automaticamente pull requests para atualizar as dependências usadas nos repositórios da organização. Para obter mais informações, confira "Sobre as atualizações de segurança do Dependabot".

Próximas etapas

Se você estiver usando o GitHub-recommended security configuration e suas descobertas indicarem que as configurações de habilitação de segurança não estão atendendo às suas necessidades, crie um custom security configuration. Para começar, confira "Criando uma configuração de segurança personalizada".

Se você estiver usando um custom security configuration e suas descobertas indicarem que as configurações de habilitação de segurança não estão atendendo às suas necessidades, você pode editar sua configuração atual. Para obter mais informações, confira "Edição de uma configuração de segurança personalizada".

Por fim, você também pode editar suas configurações de segurança no nível da organização com global settings. Para saber mais, confira "Configurações de segurança globais para sua organização".