Exibir insights de segurança

Você pode usar o dashboard de visão geral na visão geral de segurança para monitorar o cenário de segurança dos repositórios na sua organização ou empresa.

Quem pode usar esse recurso?

O acesso requer:

  • Exibições da organização: acesso para gravação a repositórios na organização
  • Exibições corporativas: proprietários da organização e gerentes de segurança

Neste artigo

Sobre insights de segurança

A página de visão geral na visão geral de segurança é um dashboard consolidado de insights sobre o cenário de segurança e o progresso da sua organização ou empresa. Você pode usar o painel para monitorar a integridade do programa de segurança do aplicativo, colaborar com equipes de engenharia e coletar dados para obter parâmetros de comparação.

As visões gerais de segurança no nível corporativo e organizacional têm um dashboard. Por padrão, o dashboard no nível empresarial mostra as métricas para todos os repositórios em sua empresa. Você pode filtrar os dados mostrados no dashboard no nível empresarial por proprietário (por exemplo, por organização). Por padrão, o dashboard no nível organizacional mostra as métricas para todos os repositórios de propriedade da sua organização. Ambos os dashboards também permitem filtrar por repositório.

Você pode exibir uma variedade de métricas sobre os alertas de segurança em sua organização ou empresa. O painel exibe dados de tendência que rastreiam contagens de alertas e atividades ao longo do tempo, bem como dados de instantâneo que refletem o estado atual.

O painel é dividido em três guias, cada uma focada em uma meta de segurança diferente:

  • Detecção: essa guia mostra métricas sobre o status e a idade dos alertas em sua organização ou empresa, os segredos que foram bloqueados ou ignorados e os principais repositórios e vulnerabilidades que representam o maior risco potencial de segurança.
  • Remediação: essa guia mostra métricas sobre como os alertas são resolvidos e a atividade de alerta ao longo do tempo.
  • Prevenção: essa guia mostra métricas sobre como as vulnerabilidades foram evitadas e corrigidas.

Note

Ao contrário das guias Detecção e Correção, que relatam alertas no branch padrão, a guia Prevenção fornece insights para alertas do CodeQL encontrados em pull requests mescladas.

Você pode filtrar o painel de visão geral selecionando um período de tempo específico e aplicar filtros adicionais para se concentrar em áreas de interesse mais estreitas. Todos os dados e métricas em todo o painel serão alterados à medida que você aplicar filtros. Por padrão, o dashboard exibe todos os alertas das ferramentas do GitHub, mas você pode usar o filtro de ferramentas para mostrar alertas de uma ferramenta específica (secret scanning, Dependabot e code scanning usando o CodeQL, uma ferramenta específica de terceiros) ou todas as ferramentas de terceiros code scanning. Para obter mais informações, consulte "Visão geral da filtragem de alertas na segurança".

Você pode baixar um arquivo CSV dos dados do painel de visão geral da sua organização. Esse arquivo de dados pode se integrar facilmente a conjuntos de dados externos, portanto, você pode achá-lo útil para pesquisa de segurança, análise de dados e muito mais. Para obter mais informações, confira "Exportando dados da visão geral de segurança".

Membros da empresa podem acessar a página de visão geral das organizações em sua empresa. As métricas exibidas dependerão das permissões de sua função e do repositório. Para obter mais informações, confira "Sobre a visão geral de segurança".

Limitações

Os dados que preenchem a página de visão geral podem e serão alterados ao longo do tempo devido a vários fatores, como exclusão do repositório ou modificações em um aviso de segurança. Isso significa que as métricas de visão geral para o mesmo período de tempo podem variar se exibidas em dois momentos diferentes. Para relatórios de conformidade ou outros cenários em que a consistência dos dados é crucial, recomendamos que você obtenha dados do log de auditoria. Para obter mais informações, confira "Alertas de segurança de auditoria".

Lembre-se de que a página de visão geral controla as alterações ao longo do tempo apenas para dados de alerta de segurança. Se você filtrar a página por atributos que não sejam de alerta, como o status do repositório, os dados exibidos refletirão o estado atual desses atributos, em vez do estado histórico. Por exemplo, considere que você arquivou um repositório que contém alertas de segurança abertos, uma ação que fecha os alertas. Se você exibir a página de visão geral da semana anterior ao arquivamento do repositório, os dados de alerta do repositório só aparecerão quando você filtrar para mostrar dados de repositórios arquivados, porque o estado atual do repositório é arquivado. No entanto, os alertas aparecerão como abertos, uma vez que foram abertos durante esse período e a página de visão geral rastreia o estado histórico dos alertas.

Note

As exibições de resumo ("Visão geral", "Cobertura" e "Risco") mostram dados apenas para alertas padrão. Secret scanning alertas para diretórios ignorados e alertas de não provedor são todos omitidos dessas exibições. Consequentemente, as exibições de alerta individuais podem incluir um número maior de alertas abertos e fechados.

Exibir o dashboard de visão geral de segurança para sua organização

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. A página de visão geral é a exibição principal que você verá depois de clicar na guia “Segurança". Para acessar o painel por outra página de visão geral de segurança, na barra lateral, clique em Visão geral.

  4. A guia Detecção é exibida por padrão. Se quiser alternar para outra guia para ver outras métricas, clique em Correção ou Prevenção. 1. Use as opções na parte superior da página de visão geral para filtrar o grupo de alertas cujas métricas você deseja ver. Todos os dados e métricas da página serão alterados à medida que você ajustar os filtros.

    • Use o seletor de data para definir o intervalo de tempo para o qual você deseja exibir atividade e métricas de alerta.
    • Clique na caixa de pesquisa para adicionar mais filtros sobre alertas e métricas exibidos.

    Captura de tela da página de visão geral na visão geral de segurança. As opções de filtragem são descritas em laranja escuro, incluindo o seletor de data e o campo de pesquisa.

Exibir o dashboard de visão geral de segurança para sua empresa

  1. Navegue até GitHub Enterprise Cloud.

  2. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  3. Na lista de empresas, clique na empresa que você deseja visualizar.

  4. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Segurança de Código.

  5. A guia Detecção é exibida por padrão. Se quiser alternar para outra guia para ver outras métricas, clique em Correção ou Prevenção. 1. Use as opções na parte superior da página de visão geral para filtrar o grupo de alertas cujas métricas você deseja ver. Todos os dados e métricas da página serão alterados à medida que você ajustar os filtros.

    • Use o seletor de data para definir o intervalo de tempo para o qual você deseja exibir atividade e métricas de alerta.
    • Clique na caixa de pesquisa para adicionar mais filtros sobre alertas e métricas exibidos.

    Captura de tela da página de visão geral na visão geral de segurança. As opções de filtragem são descritas em laranja escuro, incluindo o seletor de data e o campo de pesquisa.

Tip

Use o filtro owner no campo de pesquisa para filtrar os dados por organização. Se você tiver propriedade de um empresa com usuários gerenciados, poderá usar o filtro owner-type para filtrar os dados pelo tipo de proprietário do repositório e poderá exibir dados de repositórios de propriedade da organização ou do usuário. Para obter mais informações, confira "Visão geral da filtragem de alertas na segurança".

Noções básicas sobre o painel de visão geral

Algumas métricas no dashboard de visão geral de segurança incluem um indicador de tendência, que mostra a porcentagem de ganho ou perda para o período de tempo escolhido em relação ao período anterior. Por exemplo, quando você seleciona uma semana com 10 alertas, se a semana anterior tinha 20 alertas, o indicador de tendência informa que a métrica caiu 50%. Se a idade média dos alertas abertos for de 15 dias, e para o período anterior era de 5 dias, o indicador de tendência informará que a métrica aumentou 200%.

Note

O número de alertas mostrado no dashboard de visão geral de segurança pode não corresponder ao número de alertas code scanning. O dashboard de visão geral de segurança se concentra no cenário de segurança da sua organização e inclui apenas alertas com uma severidade de segurança ("Crítica", "Alta", "Média" ou "Baixa"), mas CodeQL e ferramentas de terceiros podem produzir separadamente alertas não relacionados a segurança com um nível de "Erro", "Aviso" ou "Nota". Para obter mais informações sobre a severidade do alerta e os níveis de severidade de segurança em code scanning, consulte "Sobre alertas de digitalização de códigos".

Guia Detecção

Alertas abertos ao longo do tempo

O gráfico “Alertas abertos ao longo do tempo” mostra a mudança no número de alertas abertos em sua organização ou empresa durante o período de tempo que você escolheu. Por padrão, os alertas são agrupados por gravidade. Você pode alterar a forma como alertas são agrupados.

Os alertas abertos incluem alertas de segurança abertos recém-criados e existentes. Os novos alertas são representados nas suas datas de criação, enquanto alertas que existiam antes do período de tempo escolhido são representados no início do período. Depois que um alerta é corrigido ou descartado, ele não é incluído no gráfico. Em vez disso, o alerta será movido para o gráfico de alertas fechados.

Idade dos alertas

A métrica "Idade dos alertas" é a média de idade de todos os alertas que ainda estão abertos no final do período de tempo escolhido.

A idade de cada alerta aberto é calculada subtraindo a data em que o alerta foi criado da data em que o período de tempo escolhido termina. Para alertas reabertos, a idade é calculada subtraindo a data de criação original em vez da data em que o alerta foi reaberto.

Alertas reabertos

A métrica "Alertas reabertos" é o total de alertas abertos que foram reabertos durante o período de tempo escolhido. Somente os alertas abertos no final do período do relatório são relatados. Isso inclui:

  • Alertas que foram fechados desde o dia anterior ao período escolhido e que permanecem abertos no final do período.
  • Alertas recém-criados que foram fechados e, em seguida, reabertos durante o período de tempo escolhido.
  • Alertas que estavam abertos no início do período de tempo escolhido, mas fechados e depois reabertos dentro do mesmo período.

Segredos ignorados ou bloqueados

A métrica "Segredos ignorados" mostra a proporção de segredos ignorados em relação ao total de segredos bloqueados pela proteção push.

Você também pode ver quantos segredos foram bloqueados com sucesso, o que é calculado subtraindo o número de segredos ignorados do número total de segredos bloqueados pela proteção push. Um segredo é considerado como tendo sido bloqueado com sucesso quando foi corrigido e não confirmado no repositório.

Você pode clicar em Exibir detalhes para exibir o relatório de secret scanning com os mesmos filtros e período de tempo selecionados.

Para obter mais informações sobre métricas de proteção por push do secret scanning, consulte "Exibir métricas para proteção por push para a verificação de segredos".

Tabela de análise de impacto

A tabela de análise de impacto tem guias separadas mostrando dados para: "Repositórios" e "Avisos".

  • A guia "Repositórios" mostra os dez principais repositórios com mais alertas abertos no final do período de tempo escolhido, classificados pelo número total de alertas abertos. Para cada repositório, o número total de alertas abertos é mostrado com uma divisão por gravidade.

  • A guia "Avisos" mostra os dez avisos de CVE que dispararam mais alertas do Dependabot no final do período de tempo escolhido, classificados pelo número total de alertas abertos. Para cada aviso, o número total de alertas abertos é mostrado com uma classificação de gravidade.

Guia Correção

Alertas fechados ao longo do tempo

O gráfico “Alertas fechados ao longo do tempo” mostra a mudança no número de alertas fechados em sua organização ou empresa durante o período de tempo que você escolheu. Por padrão, os alertas são agrupados por gravidade. Você pode alterar a forma como alertas são agrupados.

Os alertas fechados incluem alertas de segurança que foram corrigidos ou descartados com êxito antes ou durante o período de tempo escolhido. Os alertas fechados durante o período de tempo são representados no gráfico em suas datas de fechamento, enquanto os alertas corrigidos ou descartados antes do período de tempo escolhido são representados no início do período.

MTTR (tempo médio para corrigir).

A métrica "Tempo médio para corrigir" é a média de idade de todos os alertas que foram corrigidos ou descartados no período de tempo escolhido. Os alertas que foram fechados como "falso positivo" são excluídos.

A idade de cada alerta fechado é calculada subtraindo-se a data em que o alerta foi criado da data em que o alerta foi fechado pela última vez durante o período de tempo escolhido. Para alertas reabertos, a idade é calculada subtraindo a data de criação original em vez da data em que o alerta foi reaberto.

Taxa de resolução líquida

A métrica "Taxa de resolução líquida" é a taxa na qual os alertas estão sendo fechados. Essa métrica é semelhante à medição da "velocidade do desenvolvedor", refletindo a velocidade e a eficiência com que os alertas são resolvidos.

A taxa é calculada dividindo o número de alertas que foram fechados e permaneceram fechados durante o período de tempo escolhido, pelo número de alertas criados durante o período de tempo.

Note

A taxa de resolução líquida leva em conta quaisquer alertas novos e fechados durante o período de tempo escolhido. Isso significa que o conjunto de novos alertas e o conjunto de alertas fechados utilizados para o cálculo não correspondem necessariamente, uma vez que podem representar diferentes populações de alertas.

Os alertas que são reabertos e fechados novamente durante o período de tempo escolhido são ignorados.

Gráfico de atividade de alerta

Expandindo o gráfico de tendências de alerta, o gráfico de atividade de alerta mostra entradas e saídas de alertas durante o período de tempo escolhido.

As barras verdes representam o número de novos alertas criados durante o período de tempo segmentado. As barras roxas representam o número de alertas que foram fechados durante o período de tempo segmentado. A linha pontilhada azul representa a atividade de alerta líquido, que é a diferença entre alertas novos e fechados.

Guia Prevenção

Note

Ao contrário das guias Detecção e Correção, que relatam alertas no branch padrão, a guia Prevenção fornece insights para alertas do CodeQL encontrados em pull requests mescladas.

Introduzidas versus impedidas

O gráfico "Introduzidas versus impedidas" mostra o número cumulativo de vulnerabilidades que foram capturadas no fluxo de trabalho do desenvolvedor versus as vulnerabilidades introduzidas em sua organização ou empresa durante o período de tempo escolhido. As vulnerabilidades evitadas são definidas como a contagem de alertas de pull requests detectados pelo CodeQL que foram corrigidos para pull requests mescladas. As vulnerabilidades introduzidas são a contagem de novos alertas de pull requests detectados por CodeQL que foram descartados como "Risco aceito" ou não foram resolvidos no momento em que a pull request foi mesclada.

As datas para alertas impedidos são baseadas na data em que os alertas foram fixados, e as datas para alertas introduzidos são baseadas na data em que os alertas foram criados.

Vulnerabilidades corrigidas em pull requests

A métrica "Vulnerabilidades corrigidas em pull requests" mostra a contagem de alertas de pull requests detectados pelo CodeQL ou secret scanning com um motivo de fechamento de "Corrigidas" que estão vinculados a uma pull request mesclada.

Alertas de pull request corrigidos com sugestões do Copilot Autofix

O GitHub Copilot Autofix para code scanning é uma expansão do code scanning que fornece recomendações direcionadas para auxiliar a corrigir alertas do code scanning. Para obter mais informações, confira "Uso responsável da Correção Automática do Copilot para verificação de código".

A métrica "Alertas de pull requests corrigidas com sugestões de correção automática" mostra a proporção de sugestões do Copilot Autofix aceitas em relação ao número total de sugestões do Copilot Autofix em alertas de pull requests detectados pelo code scanning.