Avaliar o risco de segurança do código

Você pode usar a visão geral de segurança para ver quais equipes e repositórios são afetados por alertas de segurança e identificar repositórios para uma ação corretiva urgente.

Quem pode usar esse recurso?

O acesso requer:

  • Exibições da organização: acesso para gravação a repositórios na organização
  • Exibições corporativas: proprietários da organização e gerentes de segurança

Neste artigo

Explorando os riscos de segurança em seu código

Você pode usar as diferentes exibições na guia Segurança para explorar os riscos de segurança em seu código.

  • Visão geral: use para explorar tendências em Detecção, Correção e Prevenção de alertas de segurança.
  • Risco: use para explorar o estado atual dos repositórios, em todos os tipos de alerta.
  • Exibições de alertas: use para explorar alertas da code scanning, do Dependabot ou da secret scanning com mais detalhes.

Essas exibições fornecem os dados e filtros para:

  • Avaliar o cenário da segurança do código em todos os repositórios.
  • Identificar as vulnerabilidades de maior impacto a serem abordadas.
  • Monitorar seu progresso na correção de possíveis vulnerabilidades.
  • Exportar sua seleção atual de dados para análise e relatórios adicionais.

Para obter informações sobre a Visão geral, consulte "Exibir insights de segurança".

Exibir riscos de segurança de código no nível da organização

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Para mostrar a exibição "Risco de segurança", clique em Risco na barra lateral.

  4. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira "Visão geral da filtragem de alertas na segurança."

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes.
    • Clique em NÚMERO afetado ou NÚMERO não afetado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com ou sem alertas abertos desse tipo.
    • Clique em qualquer uma das descrições de "Abrir alertas" no cabeçalho para mostrar apenas repositórios com alertas desse tipo e categoria. Por exemplo, 1 crítico para mostrar o repositório com um alerta crítico para Dependabot.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Captura de tela da exibição "Risco de Segurança" de uma organização As opções de filtro estão contornadas em laranja-escuro.

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. Opcionalmente, use a barra lateral à esquerda para explorar alertas para um recurso de segurança específico com mais detalhes. Em cada página, é possível usar filtros específicos para o recurso e ajustar sua pesquisa. Para saber mais sobre os qualificadores disponíveis, confira "Visão geral da filtragem de alertas na segurança".

  6. Opcionalmente, use o botão Exportar CSV para baixar um arquivo CSV dos dados exibidos atualmente na página para pesquisa de segurança e análise de dados detalhada. Para obter mais informações, confira "Exportando dados da visão geral de segurança".

Note

As exibições de resumo ("Visão geral", "Cobertura" e "Risco") mostram dados apenas para alertas padrão. Secret scanning alertas para diretórios ignorados e alertas de não provedor são todos omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.

Exibir riscos de segurança de código de nível empresarial

Você pode exibir dados para alertas de segurança entre organizações em uma empresa.

Tip

Use o filtro owner no campo de pesquisa para filtrar os dados por organização. Se você tiver propriedade de um empresa com usuários gerenciados, poderá usar o filtro owner-type para filtrar os dados pelo tipo de proprietário do repositório e poderá exibir dados de repositórios de propriedade da organização ou do usuário. Para obter mais informações, confira "Visão geral da filtragem de alertas na segurança".

  1. Navegue até GitHub Enterprise Cloud.

  2. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  3. Na lista de empresas, clique na empresa que você deseja visualizar.

  4. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Segurança de Código.

  5. Para mostrar a exibição "Risco de segurança", clique em Risco na barra lateral.

  6. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira "Visão geral da filtragem de alertas na segurança."

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes.
    • Clique em NÚMERO afetado ou NÚMERO não afetado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com ou sem alertas abertos desse tipo.
    • Clique em qualquer uma das descrições de "Abrir alertas" no cabeçalho para mostrar apenas repositórios com alertas desse tipo e categoria. Por exemplo, 1 crítico para mostrar o repositório com um alerta crítico para Dependabot.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Captura de tela da exibição Risco de Segurança de uma empresa. As opções de filtro estão contornadas em laranja-escuro.

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  7. Opcionalmente, use a barra lateral à esquerda para explorar alertas para um recurso de segurança específico com mais detalhes. Em cada página, é possível usar filtros específicos para o recurso e ajustar sua pesquisa. Para saber mais sobre os qualificadores disponíveis, confira "Visão geral da filtragem de alertas na segurança".

Note

As exibições de resumo ("Visão geral", "Cobertura" e "Risco") mostram dados apenas para alertas padrão. Secret scanning alertas para diretórios ignorados e alertas de não provedor são todos omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.

Próximas etapas

Depois de avaliar os riscos de segurança do código, você estará pronto para criar uma campanha de segurança para colaborar com os desenvolvedores para corrigir alertas. Para obter informações sobre como corrigir alertas de segurança em escala, confira “Como criar e acompanhar campanhas de segurança” e “Melhores práticas para corrigir alertas de segurança em escala”.