Interpretación de los resultados de la evaluación de riesgos de seguridad del código

Comprenda los resultados de su code security risk assessment y priorice la corrección de vulnerabilidades.

¿Quién puede utilizar esta característica?

Propietarios de la organización y administradores de seguridad

En este artículo

Introducción

En este tutorial, interpretarás tus code security risk assessment resultados y aprenderás a:

  • Comprender las métricas de riesgo en el panel de control
  • Identificar qué repositorios y lenguajes se ven más afectados
  • Priorizar vulnerabilidades para la corrección

Prerrequisitos

Debe generar un code security risk assessment informe y esperar a que se complete el análisis. Consulte Ejecución de la evaluación de riesgos de seguridad de código para su organización.

Paso 1: Descripción de las métricas del panel

Una vez completada la evaluación, revise las métricas clave en la parte superior del panel:

  •         **Total de repositorios examinados**: número de repositorios que se examinaron correctamente de los seleccionados.

  •         **Total de vulnerabilidades encontradas**: el número total de vulnerabilidades encontradas en todos los repositorios examinados.

  •         **Copilot Autofix**: número de vulnerabilidades que son aptas para Autofix de Copilot. La habilitación GitHub Code Security proporciona acceso a Autofix de Copilot, que puede sugerir automáticamente correcciones para estas alertas.

Paso 2: Revisión de vulnerabilidades por idioma

Examine el gráfico Vulnerabilidades por idioma para comprender qué idiomas del código base contribuyen más al recuento general de vulnerabilidades.

Si las vulnerabilidades se concentran en un idioma determinado, esto puede indicar lo siguiente:

  • Marcos o patrones específicos en uso que presentan puntos débiles comunes
  • Equipos que trabajan en ese idioma y que podrían beneficiarse de una guía dirigida sobre codificación segura.

Paso 3: Identificar los repositorios más afectados

En la tabla Repositorios examinados, puede ver cada repositorio escaneado junto con la proporción de vulnerabilidades que cumplen con los requisitos para Autofix de Copilot, sobre el total de vulnerabilidades encontradas.

La métrica Del repositorio más vulnerable en la parte superior de la página resalta el repositorio con el recuento de vulnerabilidades más alto. Este es un buen lugar para empezar a priorizar la corrección.

Si un alto porcentaje de repositorios contiene vulnerabilidades, esto puede indicar lo siguiente:

  • Brechas generalizadas en las prácticas de codificación seguras en todos los equipos
  • Necesidad de herramientas y barreras de protección para toda la organización, como code scanning

Si solo algunos repositorios contienen vulnerabilidades, puede centrar los esfuerzos de corrección en equipos o código base específicos.

Paso 4: Revisión de reglas detectadas

Desplácese hasta la tabla Reglas detectadas para ver un desglose de las vulnerabilidades por regla, entre las que se incluyen:

  •         **Regla**: se detectó la clase específica de problema de seguridad.

  •         **Gravedad de la regla**: nivel de gravedad (crítico, alto, medio o bajo)

  •         **Repositorios distintos: cuántos repositorios** diferentes contienen esta infracción de regla

  •         **Vulnerabilidades encontradas**: recuento total de esta infracción de regla en todos los repositorios

La tabla ordena por recuento de vulnerabilidades de forma predeterminada, lo que le ayuda a identificar los problemas más frecuentes. Preste especial atención a las reglas con una gravedad crítica o alta que aparecen en varios repositorios, ya que representan el mayor riesgo.

Paso 5: Priorizar la corrección

Ahora que comprende las métricas, priorice la corrección en función del riesgo.

Las vulnerabilidades de prioridad más alta son reglas críticas y de gravedad alta que aparecen en varios repositorios, ya que:

  • Representa el mayor impacto potencial si se aprovecha
  • Están presentes en el código en el que los equipos están trabajando activamente

A continuación, solucione las vulnerabilidades que presentan un riesgo menor o requiera más esfuerzo para corregir:

  •         **Problemas de gravedad media y baja**, que pueden suponer un riesgo, pero son menos críticos inmediatamente

  •         **Reglas que solo aparecen en un repositorio**, que representan una exposición más independiente

Busque también los siguientes indicadores, que pueden requerir una intervención más amplia más allá de las correcciones individuales:

  •         **Muchos repositorios afectados por la misma regla**: sugiere un patrón sistémico que puede requerir entrenamiento en equipo o estándares de codificación actualizados.

  •         **Recuentos de vulnerabilidades elevados en un lenguaje específico**: puede apuntar a problemas de nivel de marco o a herramientas de examen que faltan para ese lenguaje.

Pasos siguientes

Para empezar a corregir vulnerabilidades con Autofix de Copilot, habilite GitHub Code Security para su organización. Tiene dos opciones:

  • Para habilitar GitHub Code Security un repositorio individual, haga clic en Habilitar junto a un repositorio en la tabla "Repositorios examinados".
  • Para habilitar GitHub Code Security en toda la organización, haga clic en Habilitar Code Security en la parte superior de la página. Aquí puede elegir si quiere habilitarlo para todos los repositorios o repositorios seleccionados y, a continuación, revisar el costo estimado antes de confirmarlo.