Interpretieren der Ergebnisse der Codesicherheitsrisikobewertung

Verstehen Sie die Ergebnisse von Ihrem code security risk assessment und priorisieren Sie die Schwachstellenbehebung.

Wer kann dieses Feature verwenden?

Organisationsbesitzende und Sicherheitsmanager

In diesem Artikel

Einführung

In dieser Anleitung interpretieren Sie Ihre code security risk assessment-Ergebnisse und lernen, wie Sie:

  • Grundlegendes zu Risikometriken im Dashboard
  • Ermitteln, welche Repositorys und Sprachen am stärksten betroffen sind
  • Priorisieren von Sicherheitsrisiken zur Behebung

Voraussetzungen

Sie müssen einen code security risk assessment Bericht generieren und warten, bis die Überprüfung abgeschlossen ist. Siehe Ausführen der Codesicherheitsrisikobewertung für Ihre Organisation.

Schritt 1: Grundlegendes zu Ihren Dashboardmetriken

Überprüfen Sie nach Abschluss der Bewertung die wichtigsten Metriken am oberen Rand des Dashboards:

  •         **Gesamtzahl der gescannten Repositorys**: Die Anzahl der Repositorys, die erfolgreich aus diesen ausgewählten Repositorys gescannt wurden.

  •         **Gesamtzahl gefundener Sicherheitsrisiken**: Die Gesamtzahl der Sicherheitsrisiken, die in allen gescannten Repositorys gefunden wurden.

  •         **Copilot Autofix**: Die Anzahl der Schwachstellen, die für Copilot Autofix qualifiziert sind. Wenn Sie GitHub Code Security aktivieren, erhalten Sie Zugriff auf Copilot Autofix, das automatisch Korrekturen für diese Warnungen vorschlagen kann.

Schritt 2: Überprüfen von Sicherheitsrisiken nach Sprache

Sehen Sie sich die Sicherheitsrisiken anhand des Sprachdiagramms an, um zu verstehen, welche Sprachen in Ihrer Codebasis am meisten zur Gesamtanzahl der Sicherheitsrisiken beitragen.

Wenn Sicherheitsrisiken in einer bestimmten Sprache konzentriert sind, kann dies folgendes bedeuten:

  • Spezifische Frameworks oder Muster, die verwendet werden, die häufige Schwächen aufweisen
  • Teams, die in dieser Sprache arbeiten, die von gezielten Richtlinien für sichere Codierung profitieren können

Schritt 3: Identifizieren der am stärksten betroffenen Repositorys

In der Tabelle "Gescannten Repositorys" können Sie jedes gescannte Repository zusammen mit dem Verhältnis der Schwachstellen sehen, die für Copilot Autofix von den insgesamt gefundenen Schwachstellen qualifiziert sind.

Die Metrik "Anfälligstes Repository " oben auf der Seite hebt das Repository mit der höchsten Anzahl von Sicherheitsrisiken hervor. Dies ist ein guter Ausgangspunkt beim Priorisieren der Korrektur.

Wenn ein hoher Prozentsatz von Repositorys Sicherheitsrisiken enthält, kann dies auf Folgendes hinweisen:

  • Weit verbreitete Lücken bei sicheren Codierungspraktiken, die übergreifend in mehreren Teams bestehen
  • Eine Notwendigkeit für organisationsweite Werkzeug- und Schutzschienen wie code scanning

Wenn nur wenige Repositorys Sicherheitsrisiken enthalten, können Sie sich auf bestimmte Teams oder Codebasen konzentrieren.

Schritt 4: Überprüfen der erkannten Regeln

Scrollen Sie zur Tabelle "Regeln erkannt ", um eine Aufschlüsselung von Sicherheitsrisiken nach Regel anzuzeigen, einschließlich:

  •         **Regel**: Die spezifische Sicherheitsklasse, die erkannt wurde

  •         **Regelschweregrad**: Schweregrad (kritisch, hoch, mittel oder niedrig)

  •         **Unterschiedliche Repositorys**: Wie viele verschiedene Repositorys diese Regelverletzung enthalten

  •         **Gefundene Sicherheitsrisiken**: Die Gesamtanzahl dieser Regelverletzung in allen Repositorys

Die Tabelle sortiert standardmäßig nach Sicherheitsrisikoanzahl und hilft Ihnen dabei, die am häufigsten auftretenden Probleme zu erkennen. Achten Sie besonders auf Regeln mit einem kritischen oder hohen Schweregrad, die in mehreren Repositorys angezeigt werden, da diese das größte Risiko darstellen.

Schritt 5: Priorisieren der Korrektur

Nachdem Sie die Metriken verstanden haben, priorisieren Sie die Korrektur basierend auf Dem Risiko.

Die Sicherheitsanfälligkeiten mit der höchsten Priorität sind kritische und hochgradige Regeln, die in mehreren Repositories vorkommen, da sie:

  • Stellen Sie den größtmöglichen potenziellen Einfluss dar, falls sie ausgenutzt werden könnten
  • Sind im Code vorhanden, an dem Ihre Teams aktiv arbeiten

Behandeln Sie als Nächstes Sicherheitsrisiken, die ein geringeres Risiko darstellen oder mehr Aufwand erfordern, um Folgendes zu beheben:

  •         **Probleme mit mittlerer und niedriger Schwere**, die weiterhin Risiken darstellen können, aber weniger unmittelbar kritisch sind

  •         **Regeln, die nur in einem Repository enthalten sind**, die eine begrenztere Exposition darstellen

Suchen Sie auch nach den folgenden Indikatoren, die eine breitere Intervention über einzelne Fixes hinaus erfordern können:

  •         **Viele Repositorys, die von derselben Regel betroffen sind**: Schlägt ein systemisches Muster vor, das möglicherweise eine Teamschulung oder aktualisierte Codierungsstandards erfordert

  •         **Hohe Sicherheitsrisikoanzahl in einer bestimmten Sprache**: Kann auf Probleme auf Frameworkebene oder fehlende Überprüfungstools für diese Sprache hinweisen

Nächste Schritte

Aktivieren Sie GitHub Code Security für Ihre Organisation, um mit der Behebung von Schwachstellen Copilot Autofix zu beginnen. Sie haben zwei Möglichkeiten:

  • Um GitHub Code Security für ein einzelnes Repository zu aktivieren, klicken Sie in der Tabelle "Repositorys gescannt" neben einem Repository auf Aktivieren.
  • Um GitHub Code Security in Ihrer Organisation zu aktivieren, klicken Sie oben auf der Seite auf Aktivieren Code Security. Hier können Sie auswählen, ob sie für alle Repositorys oder ausgewählten Repositorys aktiviert werden soll, und dann die geschätzten Kosten vor der Bestätigung überprüfen.