Avaliar o risco de segurança do código

Você pode usar a visão geral de segurança para ver quais equipes e repositórios são afetados por alertas de segurança e identificar repositórios para uma ação corretiva urgente.

Quem pode usar esse recurso?

A visão geral de segurança de uma organização está disponível para todos os membros da organização. As exibições e os dados exibidos são determinados por sua função na organização e por suas permissões para repositórios individuais dentro da organização. Para obter mais informações, confira "Sobre a visão geral de segurança."

A visão geral de segurança de uma empresa mostra aos proprietários e aos gerentes de segurança os dados das organizações às quais eles têm acesso. Os proprietários de empresas só podem exibir dados para organizações em que são adicionados como proprietário da organização ou gerente de segurança. Para saber mais, confira "Gerenciando sua função em uma organização pertencente à sua empresa."

Todas as empresas e suas organizações têm uma visão geral de segurança. Se você usar os recursos do GitHub Advanced Security, que são gratuitos para repositórios públicos, verá informações adicionais. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Neste artigo

Sobre os riscos de segurança em seu código

Você pode usar a visão geral de segurança para ver quais repositórios e equipes estão livres de alertas de segurança e quais têm alertas de segurança não resolvidos. A página "Risco de segurança" mostra um resumo e informações detalhadas sobre quais repositórios em uma organização ou empresa são afetados por alertas de segurança, com um detalhamento do alerta por gravidade. Você pode filtrar a exibição para mostrar um subconjunto de repositórios usando os links "afetados" e "não afetados", os links em "Abrir alertas", o menu suspenso "Teams" e um campo de pesquisa no cabeçalho da página. Essa exibição é uma ótima maneira de entender a imagem mais ampla de um repositório, uma equipe ou um grupo de repositórios, pois você pode ver alertas de segurança de todos os tipos em uma única exibição.

Captura de tela da seção do cabeçalho da exibição "Risco de segurança" na guia "Segurança" de uma organização.

Você pode baixar um arquivo CSV dos dados exibidos na página "Risco de segurança". Esse arquivo de dados pode ser usado para esforços como pesquisa de segurança e análise de dados aprofundada e pode se integrar facilmente a conjuntos de dados externos. Para obter mais informações, confira "Exportar dados das páginas de risco e cobertura".

Observação: é importante entender que todos os repositórios sem alertas abertos estão incluídos no conjunto de repositórios não afetados. Ou seja, os repositórios não afetados incluirão todos os repositórios em que o recurso não está habilitado, além de repositórios que foram verificados e todos os alertas identificados foram fechados.

Exibir riscos de segurança de código no nível da organização

As informações mostradas pela visão geral de segurança variam de acordo com o acesso aos repositórios e organizações, e de acordo com o uso ou não GitHub Advanced Security é usado por esses repositórios e organizações. Para obter mais informações, confira "Sobre a visão geral de segurança".

  1. No GitHub.com, navegue até a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Para mostrar a exibição "Risco de segurança", clique em Risco na barra lateral.

  4. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira "Visão geral da filtragem de alertas na segurança."

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes.
    • Clique em NÚMERO afetado ou NÚMERO não afetado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com ou sem alertas abertos desse tipo.
    • Clique em qualquer uma das descrições de "Abrir alertas" no cabeçalho para mostrar apenas repositórios com alertas desse tipo e categoria. Por exemplo, 1 crítico para mostrar o repositório com um alerta crítico para Dependabot.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Captura de tela da exibição "Risco de Segurança" de uma organização As opções de filtro estão contornadas em laranja-escuro.

  5. Opcionalmente, use a barra lateral à esquerda para explorar alertas para um recurso de segurança específico com mais detalhes. Em cada página, é possível usar filtros específicos para o recurso e ajustar sua pesquisa. Para saber mais sobre os qualificadores disponíveis, confira "Visão geral da filtragem de alertas na segurança".

Observação: As exibições de resumo ("Visão geral", "Cobertura" e "Risco") mostram dados apenas para alertas de alta confiança. Alertas Code scanning de ferramentas de terceiros e alertas secret scanning para diretórios ignorados e alertas que não são de provedor são todos omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.

Exibir riscos de segurança de código de nível empresarial

Você pode exibir dados para alertas de segurança entre organizações em uma empresa. As informações mostradas pela visão geral de segurança variam de acordo com o acesso aos repositórios e organizações, e de acordo com o uso ou não GitHub Advanced Security é usado por esses repositórios e organizações. Para obter mais informações, confira "Sobre a visão geral de segurança".

Dica: Você pode usar o filtro org: no campo de pesquisa para filtrar os dados por organização. Para obter mais informações, confira "Visão geral da filtragem de alertas na segurança".

  1. Navegue até o GitHub.com.

  2. No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas.

  3. Na lista de empresas, clique na empresa que você deseja visualizar.

  4. Na barra lateral esquerda, clique em Segurança do Código.

  5. Para exibir a exibição "Cobertura de segurança", na barra lateral, clique em Risco.

  6. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira "Visão geral da filtragem de alertas na segurança."

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes.
    • Clique em NÚMERO afetado ou NÚMERO não afetado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com ou sem alertas abertos desse tipo.
    • Clique em qualquer uma das descrições de "Abrir alertas" no cabeçalho para mostrar apenas repositórios com alertas desse tipo e categoria. Por exemplo, 1 crítico para mostrar o repositório com um alerta crítico para Dependabot.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Captura de tela da exibição Risco de Segurança de uma empresa. As opções de filtro estão contornadas em laranja-escuro.

Observação: As exibições de resumo ("Visão geral", "Cobertura" e "Risco") mostram dados apenas para alertas de alta confiança. Alertas Code scanning de ferramentas de terceiros e alertas secret scanning para diretórios ignorados e alertas que não são de provedor são todos omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.