Skip to main content

Sobre a visão geral de segurança

Você pode obter informações sobre o cenário geral de segurança da sua organização e exibir resumos de alertas para repositórios de propriedade da sua organização. Você também pode monitorar a adoção de recursos de segurança de código em toda a sua organização.

Quem pode usar esse recurso?

A visão geral de segurança de uma organização está disponível para todos os membros da organização. As exibições e os dados exibidos são determinados por sua função na organização e por suas permissões para repositórios individuais dentro da organização. Para obter mais informações, confira "Sobre a visão geral de segurança."

A visão geral de segurança de uma empresa mostra aos proprietários e aos gerentes de segurança os dados das organizações às quais eles têm acesso. Os proprietários de empresas só podem exibir dados para organizações em que são adicionados como proprietário da organização ou gerente de segurança. Para saber mais, confira "Gerenciando sua função em uma organização pertencente à sua empresa."

Todas as empresas e suas organizações têm uma visão geral de segurança. Se você usar os recursos do GitHub Advanced Security, que são gratuitos para repositórios públicos, verá informações adicionais. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Sobre a visão geral de segurança

A visão geral de segurança fornece resumos de alto nível do panorama de segurança de uma organização ou empresa e facilita a identificação de repositórios que exigem intervenção. Também é possível usá-la para ver quais repositórios habilitaram recursos de segurança específicos e para configurar funcionalidades de segurança disponíveis que não estão atualmente em uso.

Nota: A visão geral de segurança mostra informações e métricas para as ramificações padrão dos repositórios de uma organização.

A visão geral de segurança mostra quais recursos de segurança estão habilitados para repositórios e inclui exibições focadas em repositórios e alertas para que você possa investigar rapidamente os problemas de segurança e tomar medidas para corrigi-los.

  • As informações de risco e cobertura sobre os recursos e alertas do Dependabot são mostradas para todos os repositórios.
  • As informações de risco e cobertura dos recursos do GitHub Advanced Security, como code scanning e secret scanning, são mostradas para empresas que usam o GitHub Advanced Security e para repositórios públicos.
  • Um painel de nível organizacional de insights de recursos de segurança é mostrado para organizações corporativas que usam o GitHub Advanced Security e para repositórios públicos.

Para obter mais informações, confira "Sobre alertas do Dependabot" e "Sobre a Segurança Avançada do GitHub."

Você pode baixar arquivos CSV (valores separados por vírgula) contendo dados das páginas de risco e cobertura da visão geral de segurança. Esses arquivos de dados podem ser usados para esforços como pesquisa de segurança e análise de dados aprofundada e podem se integrar facilmente a conjuntos de dados externos. Para saber mais, confira "Exportar dados das páginas de risco e cobertura".

As exibições são interativas com filtros que permitem analisar detalhadamente os dados agregados e identificar fontes de alto risco ou com baixa cobertura de recursos. Conforme você aplica vários filtros para se concentrar em áreas mais específicas de interesse, os dados e métricas na exibição são alterados para refletir a seleção atual. Para obter mais informações, confira "Visão geral da filtragem de alertas na segurança".

Também há exibições dedicadas para cada tipo de alerta de segurança que você pode usar para limitar sua análise a um conjunto específico de alertas e, assim, restringir ainda mais os resultados com um intervalo de filtros específicos para cada exibição. Por exemplo, na exibição de alertas do secret scanning, você pode usar o filtro "Tipo secreto" para exibir apenas o alertas de verificação de segredo de um segredo específico, como um GitHub personal access token.

Observação: a visão geral de segurança exibe alertas ativos criados por funcionalidades de segurança. Se não houver alertas mostrados na visão geral de segurança de um repositório, as vulnerabilidades de segurança não detectadas ou os erros de código ainda poderão existir ou o recurso poderá não estar habilitado para esse repositório.

Sobre a visão geral de segurança para organizações

A equipe de segurança de aplicativos da sua empresa pode usar as diversas exibições para análises amplas e específicas do status de segurança da sua organização. Por exemplo, a equipe pode usar a exibição do painel "Visão geral" (beta) para rastrear o cenário de segurança e a progressão da sua organização. Use também a visão geral de segurança para encontrar um conjunto de repositórios e habilitar ou desabilitar recursos de segurança para todos eles ao mesmo tempo. Para obter mais informações, confira "Como habilitar recursos de segurança para vários repositórios".

Encontre a visão geral de segurança na guia Segurança de qualquer organização pertencente a uma empresa. Cada exibição mostra um resumo dos dados aos quais você tem acesso. Conforme você adiciona filtros, todos os dados e métricas na exibição são alterados para refletir os repositórios ou alertas selecionados. Para obter informações sobre permissões, confira "Permissão para exibir dados na visão geral de segurança".

A visão geral de segurança tem várias exibições que fornecem diferentes maneiras de explorar a habilitação e os dados de alerta.

  • Use "Visão geral" para exibir insights sobre o cenário de segurança e o progresso da sua organização.
  • Use "Cobertura" para avaliar a adoção de recursos de segurança de código entre os repositórios da organização.
  • Use "Risco" para avaliar o risco dos alertas de segurança de todos os tipos para um ou mais repositórios da organização.
  • Use as exibições de alerta de segurança individuais para identificar seu risco de dependências vulneráveis específicas, pontos fracos de código ou segredos vazados.

Observação: As exibições de resumo ("Visão geral", "Cobertura" e "Risco") mostram dados apenas para alertas de alta confiança. Alertas Code scanning de ferramentas de terceiros e alertas secret scanning para diretórios ignorados e alertas que não são de provedor são todos omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.

Para obter mais informações sobre essas exibições, confira "Exibir os insights de segurança da sua organização,""Avaliar a adoção de recursos de segurança de código" e "Avaliar o risco de segurança do código."

Sobre a visão geral de segurança para empresas

Você pode encontrar a visão geral de segurança na guia Segurança do Código da sua empresa. Cada página exibe informações de segurança agregadas e específicas ao repositório para sua empresa.

Assim como acontece com a visão geral de segurança para organizações, a visão geral de segurança para empresas tem várias exibições que fornecem diferentes maneiras de explorar a habilitação e os dados de alerta.

  • Use a exibição "Cobertura" para avaliar a adoção de recursos de segurança de código entre as organizações da empresa.
  • Use a exibição "Risco" para avaliar o risco dos alertas de segurança de todos os tipos entre as organizações da empresa.
  • Use as exibições de alerta de segurança individuais para identificar o risco de dependências vulneráveis específicas, pontos fracos de código ou segredos vazados.

Para obter informações sobre permissões, confira "Permissão para exibir dados na visão geral de segurança".

Permissão para exibir dados na visão geral de segurança

Visão geral no nível de organização

Se você for proprietário ou gerente de segurança de uma organização, poderá ver os dados de todos os repositórios na organização em todos os modos de exibição.

Se você for membro da organização, poderá exibir a visão geral de segurança da organização e ver os dados dos repositórios para os quais tenha acesso.

Membro da organização comExibição do painel de visão geral (beta)Exibições de risco e alertasTipo de cobertura
Acesso ao admin para um ou mais repositóriosExibir dados desses repositóriosExibir dados desses repositóriosExibir dados desses repositórios e habilitar e desabilitar recursos de segurança
Acesso ao write para um ou mais repositóriosExibir dados do code scanning e Dependabot desses repositóriosExibir dados do code scanning e Dependabot desses repositóriosNenhum acesso para esses repositórios
Acesso a alertas de segurança para um ou mais repositóriosExibir todos os dados de alerta de segurança para esses repositóriosExibir todos os dados de alerta de segurança para esses repositóriosNenhum acesso para esses repositórios
Função de organização personalizada com permissão para exibir um ou mais tipos de alerta de segurançaExibir dados de alerta permitidos para todos os repositóriosExibir dados de alerta permitidos para todos os repositórios em todos os modos de exibiçãoSem acesso

Nota: para garantir uma experiência consistente e responsiva, para os membros da organização, as páginas de visão geral de segurança no nível da organização só exibirão os resultados dos três mil repositórios atualizados mais recentemente. Se seus resultados tiverem sido restritos, uma notificação aparecerá na parte superior da página. Os proprietários da organização e os gerentes de segurança verão os resultados de todos os repositórios.

Para obter mais informações sobre o acesso a alertas de segurança e exibições relacionadas, confira "Gerenciando as configurações de segurança e análise do repositório" e "Sobre as funções personalizadas do repositório".

Visão geral no nível empresarial

Observação: se você for proprietário de uma empresa, precisará ingressar em uma organização como proprietário da organização para exibir dados dos repositórios dela, tanto na visão geral do nível organizacional quanto na do nível empresarial. Somente pessoas com permissões de administrador para o repositório que contém um segredo vazado podem exibir detalhes de alerta de segurança e metadados de token para um alerta. Os proprietários da empresa podem solicitar acesso temporário ao repositório com essa finalidade. Para obter mais informações, confira "Gerenciando sua função em uma organização pertencente à sua empresa".

Na visão geral de segurança no nível empresarial, você poderá ver os dados de todas as organizações das quais você seja proprietário ou gerente de segurança da organização. No entanto, você não poderá usar a visão geral de segurança de nível empresarial para habilitar e desabilitar recursos de segurança. Para obter mais informações, confira "Como gerenciar os recursos do GitHub Advanced Security na empresa".

Leitura adicional