Avaliar a adoção de recursos de segurança de código

Você pode usar a visão geral de segurança para ver quais equipes e repositórios já habilitaram recursos de segurança de código e identificar os que ainda não estão protegidos.

Quem pode usar esse recurso?

A visão geral de segurança de uma organização está disponível para todos os membros da organização. As exibições e os dados exibidos são determinados por sua função na organização e por suas permissões para repositórios individuais dentro da organização. Para obter mais informações, confira "Sobre a visão geral de segurança."

A visão geral de segurança de uma empresa mostra aos proprietários e aos gerentes de segurança os dados das organizações às quais eles têm acesso. Os proprietários de empresas só podem exibir dados para organizações em que são adicionados como proprietário da organização ou gerente de segurança. Para saber mais, confira "Gerenciando sua função em uma organização pertencente à sua empresa."

Todas as empresas e suas organizações têm uma visão geral de segurança. Se você usar os recursos do GitHub Advanced Security, que são gratuitos para repositórios públicos, verá informações adicionais. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Neste artigo

Sobre a adoção de recursos de segurança de código

Você pode usar a visão geral de segurança para ver quais repositórios e equipes já habilitaram cada recurso de segurança de código e onde as pessoas precisam de mais incentivo para adotar esses recursos. A exibição "Cobertura de segurança" mostra um resumo e informações detalhadas sobre a habilitação de recursos para uma organização. Você pode filtrar a exibição para mostrar um subconjunto de repositórios usando os links "habilitado" e "não habilitado", o menu suspenso "Teams" e um campo de pesquisa no cabeçalho da página.

Captura de tela da seção do cabeçalho da exibição "Cobertura de segurança" na guia "Segurança" de uma organização. As opções de filtragem estão destacadas em laranja escuro, incluindo os links "habilitado" e "não habilitado", o seletor "Teams" e o campo de pesquisa.

Note

Os "alertas de pull request" serão relatados como habilitados somente quando code scanning tiver analisado pelo menos uma solicitação de pull desde que os alertas foram habilitados para o repositório.

Você pode baixar um arquivo CSV dos dados exibidos na página "Cobertura de segurança". Esse arquivo de dados pode ser usado para esforços como pesquisa de segurança e análise de dados aprofundada e pode se integrar facilmente a conjuntos de dados externos. Para obter mais informações, confira "Exportando dados da visão geral de segurança".

Você pode usar o modo de exibição "Tendências de habilitação" para ver o status de habilitação e as tendências de status de habilitação ao longo do tempo para Dependabot, code scanning, ou secret scanning para repositórios em uma organização, ou entre organizações em uma empresa. Para cada um desses recursos, você pode exibir um gráfico visualizando a porcentagem de repositórios que têm o recurso habilitado, bem como uma tabela detalhada com porcentagens de habilitação para diferentes pontos no tempo. Para obter mais informações, consulte "Exibindo tendências de habilitação para uma organização" e "Exibindo tendências de habilitação para uma empresa".

Exibir a habilitação de recursos de segurança de código para uma organização

Você pode exibir dados para avaliar a habilitação de recursos de segurança de código entre organizações em uma empresa. As informações mostradas pela visão geral de segurança variam de acordo com o acesso aos repositórios e organizações, e de acordo com se GitHub Advanced Security é usado por esses repositórios e organizações. Para obter mais informações, confira "Sobre a visão geral de segurança".

Na lista de repositórios, o rótulo "Pausado" no"Dependabot" indica os repositórios para os quais as Dependabot estão pausadas. Para obter informações sobre os critérios de inatividade, confira "Sobre as atualizações de segurança do Dependabot" e "Sobre as atualizações da versão do Dependabot", para atualizações de segurança e versão, respectivamente.

  1. No GitHub.com, navegue até a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Para exibir a exibição "Cobertura de segurança", na barra lateral, clique em Cobertura do .

  4. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira "Visão geral da filtragem de alertas na segurança."

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes. Para obter mais informações, confira "Gerenciar o acesso da equipe em um repositório da organização".
    • Clique em NÚMERO habilitado ou NÚMERO não habilitado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com esse recurso habilitado ou não habilitado.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Captura de tela da seção do cabeçalho da exibição "Cobertura de segurança" na guia "Segurança" de uma organização. As opções de filtragem estão destacadas em laranja escuro, incluindo os links "habilitado" e "não habilitado", o seletor "Teams", os repositórios arquivados e o campo de pesquisa.

  5. Opcionalmente, você pode habilitar recursos de segurança de código para um repositório ou repositórios selecionados usando o GitHub-recommended security configuration ou pode criar um custom security configuration. Para obter mais informações, confira "Aplicação da configuração de segurança recomendada pelo GitHub em sua organização" e "Criando uma configuração de segurança personalizada."

Observações:

  • A habilitação da configuração padrão de code scanning não substituirá nenhuma definição já existente da configuração avançada dos repositórios selecionados, mas substituirá quaisquer configurações existentes da configuração padrão.
  • A habilitação de "Alertas" para secret scanning habilita alertas de alta confiança. Se você quiser habilitar alertas que não sejam de provedores, será necessário editar as configurações do repositório, da organização ou da empresa. Para obter mais informações sobre tipos de alertas, confira "Segredos compatíveis".

Exibir a habilitação de recursos de segurança de código para uma empresa

Você pode exibir dados para avaliar a habilitação de recursos de segurança de código entre organizações em uma empresa. As informações mostradas pela visão geral de segurança variam de acordo com o acesso aos repositórios e organizações, e de acordo com se GitHub Advanced Security é usado por esses repositórios e organizações. Para obter mais informações, confira "Sobre a visão geral de segurança".

Tip

Use o filtro owner no campo de pesquisa para filtrar os dados por organização. Se você tiver propriedade de um empresa com usuários gerenciados, poderá usar o filtro owner-type para filtrar os dados pelo tipo de proprietário do repositório e poderá exibir dados de repositórios de propriedade da organização ou do usuário. Para obter mais informações, confira "Visão geral da filtragem de alertas na segurança".

  1. Navegue até GitHub Enterprise Cloud.

  2. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  3. Na lista de empresas, clique na empresa que você deseja visualizar.

  4. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Segurança de Código.

  5. Para exibir a exibição "Cobertura de segurança", na barra lateral, clique em Cobertura.

  6. Use as opções no resumo da página para filtrar os resultados para mostrar os repositórios que você deseja avaliar. A lista de repositórios e métricas exibidas na página é atualizada automaticamente para corresponder à seleção atual. Para obter mais informações sobre filtragem, confira "Visão geral da filtragem de alertas na segurança."

    • Use a lista suspensa Teams para mostrar informações somente para os repositórios pertencentes a uma ou mais equipes. Para obter mais informações, confira "Gerenciar o acesso da equipe em um repositório da organização".
    • Clique em NÚMERO habilitado ou NÚMERO não habilitado no cabeçalho de qualquer recurso para mostrar apenas os repositórios com esse recurso habilitado ou não habilitado.
    • Na parte superior da lista de repositórios, clique em NÚMERO Arquivado para mostrar apenas repositórios arquivados.
    • Clique na caixa de pesquisa para adicionar mais filtros aos repositórios exibidos.

    Captura de tela da seção de cabeçalho da exibição "Cobertura de segurança" de uma empresa. As opções de filtragem estão destacadas em laranja escuro, incluindo os links "habilitado" e "não habilitado", o seletor "Teams", os repositórios arquivados e o campo de pesquisa.

Você pode exibir dados para avaliar o status de habilitação e as tendências de status de habilitação dos recursos de segurança de código de uma organização.

  1. No GitHub.com, navegue até a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral, em "Métricas", clique em Tendências de habilitação.

  4. Clique em uma das guias para "Dependabot", "Code scanning" ou "Secret scanning" para exibir as tendências de habilitação e a porcentagem de repositórios em sua organização com esse recurso habilitado. Esses dados são exibidos como um gráfico e uma tabela detalhada.

  5. Opcionalmente, use as opções na parte superior da página de exibição "Tendências de habilitação" para filtrar o grupo de repositórios para o qual você deseja ver as tendências de habilitação.

    • Use o seletor de data para definir o intervalo de tempo para o qual você deseja exibir tendências de habilitação.

    • Clique na caixa de pesquisa para adicionar mais filtros sobre as tendências de habilitação exibidas. Os filtros que você pode aplicar são os mesmos da exibição "Visão geral" do painel. Para obter mais informações, confira "Visão geral da filtragem de alertas na segurança".

      Captura de tela da exibição "Tendências de habilitação" para uma organização que mostra o status e as tendências do Dependabot ao longo de 30 dias, com um filtro aplicado.

Você pode exibir dados para avaliar o status de habilitação e as tendências de status de habilitação dos recursos de segurança de código entre organizações e em uma empresa.

Tip

Use o filtro owner: no campo de pesquisa para filtrar os dados por organização. Para obter mais informações, confira "Visão geral da filtragem de alertas na segurança".

  1. Navegue até GitHub Enterprise Cloud.

  2. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  3. Na lista de empresas, clique na empresa que você deseja visualizar.

  4. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Segurança de Código.

  5. Para exibir o modo de exibição "Tendências de habilitação", na barra lateral, clique em Tendências de habilitação.

  6. Clique em uma das guias para "Dependabot", "Code scanning" ou "Secret scanning" para exibir as tendências de habilitação e a porcentagem de repositórios nas organizações em sua empresa com esse recurso habilitado. Esses dados são exibidos como um gráfico e uma tabela detalhada.

  7. Opcionalmente, use as opções na parte superior da página de exibição "Tendências de habilitação" para filtrar o grupo de repositórios para o qual você deseja ver as tendências de habilitação.

    • Use o seletor de data para definir o intervalo de tempo para o qual você deseja exibir tendências de habilitação.
    • Clique na caixa de pesquisa para adicionar mais filtros sobre as tendências de habilitação exibidas. Para obter mais informações, confira "Visão geral da filtragem de alertas na segurança".

Interpretar e agir nos dados de habilitação

Alguns recursos de segurança de código podem e devem ser habilitados em todos os repositórios. Por exemplo, alertas de verificação de segredo e proteção por push reduzem o risco de um vazamento de segurança, quaisquer que sejam as informações armazenadas no repositório. Se você vir repositórios que ainda não usam esses recursos, deverá habilitá-los ou discutir um plano de habilitação com a equipe proprietária do repositório. Para obter informações sobre como habilitar recursos para toda uma organização, confira "Gerenciando as configurações de segurança e de análise da sua organização". Para obter informações sobre como habilitar recursos em toda a empresa, consulte "Como gerenciar os recursos do GitHub Advanced Security na empresa".

Outros recursos não estão disponíveis para uso em todos os repositórios. Por exemplo, não faria sentido habilitar o Dependabot para repositórios que usem apenas ecossistemas ou linguagens não compatíveis. Dessa forma, é normal ter alguns repositórios em que esses recursos não estão habilitados.

Sua empresa também pode ter configurado políticas para limitar o uso de alguns recursos de segurança de código. Para obter mais informações, confira "Como impor políticas para segurança e análise de código na empresa".