A visão geral de segurança fornece insights sobre a segurança do código armazenado nos repositórios de sua organização.
- Todas as organizações no GitHub Team podem usar o secret risk assessment gratuito para avaliar a exposição de sua organização a segredos vazados; confira Exibindo o relatório de avaliação de risco de segredo de sua organização.
- Contas do GitHub Team que compram o GitHub Secret Protection or GitHub Code Security têm acesso a exibições com insights adicionais.
As informações abaixo descrevem as exibições disponíveis para organizações com GitHub Secret Protection or GitHub Code Security que você pode usar para identificar tendências de detecção, correção e prevenção de alertas de segurança e aprofundar-se no estado atual de seus repositórios.
Sobre as exibições
Note
Todas as exibições mostram informações e métricas para as ramificações padrão dos repositórios que você tem permissão para exibir em uma organização ou empresa.
As exibições são interativas com filtros que permitem examinar os dados agregados em detalhes e identificar fontes de alto risco, ver tendências de segurança e ver o impacto da análise de solicitação de pull no bloqueio de vulnerabilidades de segurança que entram em seu código. Conforme você aplica vários filtros para se concentrar em áreas mais específicas de interesse, os dados e métricas na exibição são alterados para refletir a seleção atual. Para saber mais, confira Visão geral da filtragem de alertas na segurança.
Na visão geral de segurança, você pode baixar arquivos CSV (valores separados por vírgulas) que contêm dados de várias páginas da visão geral de segurança de sua organização ou empresa. Esses arquivos de dados podem ser usados para esforços como pesquisa de segurança e análise de dados aprofundada e podem se integrar facilmente a conjuntos de dados externos. Para saber mais, confira Exportando dados da visão geral de segurança.
Há exibições dedicadas para cada tipo de alerta de segurança. Você pode limitar sua análise a um conjunto específico de alertas e refinar os resultados com uma variedade de filtros específicos para cada exibição. Por exemplo, na exibição de alertas do secret scanning, você pode usar o filtro "Tipo secreto" para exibir apenas o alertas de verificação de segredo de um segredo específico, como um GitHub personal access token.
Note
A visão geral de segurança exibe alertas ativos emitidos por recursos de segurança. Se não houver alertas mostrados na visão geral de segurança de um repositório, as vulnerabilidades de segurança não detectadas ou os erros de código ainda poderão existir ou o recurso poderá não estar habilitado para esse repositório.
Sobre a visão geral de segurança para organizações
A equipe de segurança de aplicativos da sua empresa pode usar as diversas exibições para análises amplas e específicas do status de segurança da sua organização. Por exemplo, a equipe pode usar a exibição do painel "Overview" para acompanhar o cenário e a progressão da segurança de sua organização.
A visão geral de segurança pode ser encontrada na guia Segurança de qualquer organização. Cada exibição mostra um resumo dos dados aos quais você tem acesso. Conforme você adiciona filtros, todos os dados e métricas na exibição são alterados para refletir os repositórios ou alertas selecionados. Para obter informações sobre permissões, confira Permissão para exibir dados na visão geral de segurança.
A visão geral de segurança tem várias exibições que fornecem diferentes maneiras de explorar a habilitação e os dados de alerta.
- Overview: visualize tendências em Detecção, Correção e Prevenção de alertas de segurança; consulte Exibir insights de segurança.
- Exibições de risco e alerta: explore o risco de alertas de segurança de todos os tipos ou concentre-se em um único tipo de alerta e identifique seu risco de dependências vulneráveis específicas, pontos fracos de código ou segredos vazados, consulte Avaliando o risco de segurança do seu código.
- Cobertura: avalie a adoção de recursos de segurança em repositórios na organização, confira Avaliando a adoção de recursos de segurança.
- Assessments: independentemente do status de habilitação dos recursos do Advanced Security, as organizações no GitHub Team e no GitHub Enterprise podem executar um relatório gratuito para verificar o código na organização em busca de segredos vazados; confira Sobre a avaliação de risco de segredo.
- Enablement trends: veja a rapidez com que diferentes equipes estão adotando recursos de segurança.
- Alertas de pull request do CodeQL: avalie o impacto da execução do CodeQL nas pull requests e como as equipes de desenvolvimento estão resolvendo alertas de varredura de código, consulte Visualizar métricas para alertas de pull request.
- Varredura secreta: descubra quais tipos de segredo são bloqueados pela proteção contra push e quais equipes estão ignorando a proteção contra push, consulte Exibir métricas para proteção por push para a verificação de segredos e Revisando solicitações para bypass da proteção de push.
Você também cria e gerencia campanhas de segurança para corrigir alertas na visão geral de segurança. Confira Creating and managing security campaigns e Melhores práticas para corrigir alertas de segurança em escala.
Sobre a visão geral de segurança para empresas
Você pode encontrar a visão geral de segurança na guia Security da sua empresa. Cada página exibe informações de segurança agregadas e específicas ao repositório para sua empresa.
Assim como acontece com a visão geral de segurança para organizações, a visão geral de segurança para empresas tem várias exibições que fornecem diferentes maneiras de explorar dados.
Para obter informações sobre permissões, confira Permissão para exibir dados na visão geral de segurança.
Permissão para exibir dados na visão geral de segurança
Visão geral no nível de organização
Se você for proprietário ou gerente de segurança de uma organização, poderá ver os dados de todos os repositórios na organização em todos os modos de exibição.
Se você for um membro da organização ou da equipe, pode realizar a exibição da visão geral de segurança da organização e consultar dados dos repositórios para os quais você possui o nível de acesso apropriado.
Tip
A exibição Assessments, que não é mostrada na tabela abaixo, só está disponível para proprietários da organização e gerentes de segurança.
| Membro da organização ou da equipe com | Exibição de visão geral do painel | Exibições de risco e alertas | Tipo de cobertura |
|---|---|---|---|
Acesso ao admin para um ou mais repositórios | Exibir dados desses repositórios | Exibir dados desses repositórios | Exibição dos dados desses repositórios |
Acesso ao write para um ou mais repositórios | Exibir dados do code scanning e Dependabot desses repositórios | Exibir dados do code scanning e Dependabot desses repositórios | Sem acesso |
Acesso de read ou triage para um ou mais repositórios | Sem acesso | Sem acesso | Sem acesso |
| Acesso a alertas de segurança para um ou mais repositórios | Exibir todos os dados de alerta de segurança para esses repositórios | Exibir todos os dados de alerta de segurança para esses repositórios | Sem acesso |
| Função de organização personalizada com permissão para exibir um ou mais tipos de alerta de segurança | Exibir dados de alerta permitidos para todos os repositórios | Exibir dados de alerta permitidos para todos os repositórios em todos os modos de exibição | Sem acesso |
Note
Para garantir uma experiência consistente e responsiva, para os membros da organização, as páginas de visão geral de segurança no nível da organização só exibirão os resultados dos três mil repositórios atualizados mais recentemente. Se seus resultados tiverem sido restritos, uma notificação aparecerá na parte superior da página. Os proprietários da organização e os gerentes de segurança verão os resultados de todos os repositórios.
Para obter mais informações sobre o acesso a alertas de segurança e exibições relacionadas, confira Gerenciando as configurações de segurança e análise do repositório e Sobre as funções personalizadas do repositório.
Visão geral no nível empresarial
Note
Se você for proprietário de uma empresa, precisará ingressar em uma organização como proprietário da organização para exibir dados dos repositórios dela, tanto na visão geral do nível organizacional quanto na do nível empresarial. Para obter mais informações, consulte Gerenciando sua função em uma organização pertencente à sua empresa.
Na visão geral de segurança no nível empresarial, você poderá ver os dados de todas as organizações das quais você é proprietário ou gerente de segurança.