Sobre a visão geral de segurança
A visão geral de segurança fornece resumos de alto nível do panorama de segurança de uma organização ou empresa e facilita a identificação de repositórios que exigem intervenção. Também é possível usá-la para ver quais repositórios habilitaram recursos de segurança específicos e para configurar funcionalidades de segurança disponíveis que não estão atualmente em uso.
Nota: A visão geral de segurança mostra informações e métricas para as ramificações padrão dos repositórios de uma organização.
A visão geral de segurança mostra quais recursos de segurança estão habilitados para repositórios e inclui exibições focadas em repositórios e alertas para que você possa investigar rapidamente os problemas de segurança e tomar medidas para corrigi-los.
- As informações de risco e cobertura sobre os recursos e alertas do Dependabot são mostradas para todos os repositórios.
- As informações de risco e cobertura dos recursos do GitHub Advanced Security, como code scanning e secret scanning, são mostradas para empresas que usam o GitHub Advanced Security e para repositórios públicos.
- Um painel de nível organizacional de insights de recursos de segurança é mostrado para organizações corporativas que usam o GitHub Advanced Security e para repositórios públicos.
Para obter mais informações, confira "Sobre alertas do Dependabot" e "Sobre a Segurança Avançada do GitHub."
Você pode baixar arquivos CSV (valores separados por vírgula) contendo dados das páginas de risco e cobertura da visão geral de segurança. Esses arquivos de dados podem ser usados para esforços como pesquisa de segurança e análise de dados aprofundada e podem se integrar facilmente a conjuntos de dados externos. Para saber mais, confira "Exportar dados das páginas de risco e cobertura".
As exibições são interativas com filtros que permitem analisar detalhadamente os dados agregados e identificar fontes de alto risco ou com baixa cobertura de recursos. Conforme você aplica vários filtros para se concentrar em áreas mais específicas de interesse, os dados e métricas na exibição são alterados para refletir a seleção atual. Para obter mais informações, confira "Visão geral da filtragem de alertas na segurança".
Também há exibições dedicadas para cada tipo de alerta de segurança que você pode usar para limitar sua análise a um conjunto específico de alertas e, assim, restringir ainda mais os resultados com um intervalo de filtros específicos para cada exibição. Por exemplo, na exibição de alertas do secret scanning, você pode usar o filtro "Tipo secreto" para exibir apenas o alertas de verificação de segredo de um segredo específico, como um GitHub personal access token.
Observação: a visão geral de segurança exibe alertas ativos criados por funcionalidades de segurança. Se não houver alertas mostrados na visão geral de segurança de um repositório, as vulnerabilidades de segurança não detectadas ou os erros de código ainda poderão existir ou o recurso poderá não estar habilitado para esse repositório.
Sobre a visão geral de segurança para organizações
A equipe de segurança de aplicativos da sua empresa pode usar as diversas exibições para análises amplas e específicas do status de segurança da sua organização. Por exemplo, a equipe pode usar a exibição do painel "Visão geral" (beta) para rastrear o cenário de segurança e a progressão da sua organização. Use também a visão geral de segurança para encontrar um conjunto de repositórios e habilitar ou desabilitar recursos de segurança para todos eles ao mesmo tempo. Para obter mais informações, confira "Como habilitar recursos de segurança para vários repositórios".
Encontre a visão geral de segurança na guia Segurança de qualquer organização pertencente a uma empresa. Cada exibição mostra um resumo dos dados aos quais você tem acesso. Conforme você adiciona filtros, todos os dados e métricas na exibição são alterados para refletir os repositórios ou alertas selecionados. Para obter informações sobre permissões, confira "Permissão para exibir dados na visão geral de segurança".
A visão geral de segurança tem várias exibições que fornecem diferentes maneiras de explorar a habilitação e os dados de alerta.
- Use "Visão geral" para exibir insights sobre o cenário de segurança e o progresso da sua organização.
- Use "Cobertura" para avaliar a adoção de recursos de segurança de código entre os repositórios da organização.
- Use "Risco" para avaliar o risco dos alertas de segurança de todos os tipos para um ou mais repositórios da organização.
- Use as exibições de alerta de segurança individuais para identificar seu risco de dependências vulneráveis específicas, pontos fracos de código ou segredos vazados.
Observação: As exibições de resumo ("Visão geral", "Cobertura" e "Risco") mostram dados apenas para alertas de alta confiança. Alertas Code scanning de ferramentas de terceiros e alertas secret scanning para diretórios ignorados e alertas que não são de provedor são todos omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.
Para obter mais informações sobre essas exibições, confira "Exibir os insights de segurança da sua organização,""Avaliar a adoção de recursos de segurança de código" e "Avaliar o risco de segurança do código."
Sobre a visão geral de segurança para empresas
Você pode encontrar a visão geral de segurança na guia Segurança do Código da sua empresa. Cada página exibe informações de segurança agregadas e específicas ao repositório para sua empresa.
Assim como acontece com a visão geral de segurança para organizações, a visão geral de segurança para empresas tem várias exibições que fornecem diferentes maneiras de explorar a habilitação e os dados de alerta.
- Use a exibição "Cobertura" para avaliar a adoção de recursos de segurança de código entre as organizações da empresa.
- Use a exibição "Risco" para avaliar o risco dos alertas de segurança de todos os tipos entre as organizações da empresa.
- Use as exibições de alerta de segurança individuais para identificar o risco de dependências vulneráveis específicas, pontos fracos de código ou segredos vazados.
Para obter informações sobre permissões, confira "Permissão para exibir dados na visão geral de segurança".
Permissão para exibir dados na visão geral de segurança
Se você é proprietário ou gerente de segurança de uma organização, confira os dados de todos os repositórios da organização em todos os modos de exibição. Você pode ver os dados na visão geral de segurança no nível da organização ou ver os dados de todas as organizações em que você é proprietário ou gerente de segurança na visão geral de segurança de nível empresarial.
Se você é proprietário de uma empresa, precisará ingressar em uma organização como um proprietário para exibir dados dos repositórios da organização na visão geral de nível organizacional ou empresarial. Para obter mais informações, confira "Gerenciando sua função em uma organização pertencente à sua empresa".
Se você for um membro da organização, poderá exibir a visão geral de segurança da organização e ver os dados dos repositórios em que você tem acesso. Você pode exibir esses dados na visão geral no nível da organização, mas não pode acessar a visão geral de nível empresarial.
Nota: para garantir uma experiência consistente e responsiva, para os membros da organização, as páginas de visão geral de segurança no nível da organização só exibirão os resultados dos três mil repositórios atualizados mais recentemente. Se seus resultados tiverem sido restritos, uma notificação aparecerá na parte superior da página. Os proprietários da organização e os gerentes de segurança verão os resultados de todos os repositórios.
| Membro da organização com | Exibição do painel de visão geral (beta) | Exibições de risco e alertas | Tipo de cobertura |
|---|---|---|---|
Acesso ao admin para um ou mais repositórios | Exibir dados desses repositórios | Exibir dados desses repositórios | Exibir dados desses repositórios |
Acesso ao write para um ou mais repositórios | Exibir dados do code scanning e Dependabot desses repositórios | Exibir dados do code scanning e Dependabot desses repositórios | Nenhum acesso para esses repositórios |
| Acesso a alertas de segurança para um ou mais repositórios | Exibir todos os dados de alerta de segurança para esses repositórios | Exibir todos os dados de alerta de segurança para esses repositórios | Nenhum acesso para esses repositórios |
| Função de organização personalizada com permissão para exibir um ou mais tipos de alerta de segurança | Exibir dados de alerta permitidos para todos os repositórios | Exibir dados de alerta permitidos para todos os repositórios em todos os modos de exibição | Sem acesso |
Para obter mais informações sobre o acesso a alertas de segurança e exibições relacionadas, confira "Gerenciando as configurações de segurança e análise do repositório" e "Sobre as funções personalizadas do repositório".