Interprétation des résultats de l’évaluation des risques de sécurité du code

Comprendre les résultats de votre code security risk assessment et prioriser la remédiation des vulnérabilités.

Qui peut utiliser cette fonctionnalité ?

Propriétaires d’organisation et gestionnaires de la sécurité

Dans cet article

Présentation

Dans ce tutoriel, vous allez interpréter vos code security risk assessment résultats et apprendre à :

  • Comprendre les métriques de risque dans le tableau de bord
  • Identifier les référentiels et les langues les plus affectés
  • Hiérarchiser les vulnérabilités pour la correction

Prerequisites

Vous devez générer un code security risk assessment rapport et attendre la fin de l’analyse. Consultez « Exécution de l’évaluation des risques de sécurité du code pour votre organisation ».

Étape 1 : Comprendre vos métriques de tableau de bord

Une fois votre évaluation terminée, passez en revue les métriques clés en haut du tableau de bord :

  •         **Nombre total de référentiels analysés** : nombre de référentiels qui ont été analysés avec succès sur ceux sélectionnés.

  •         **Nombre total de vulnérabilités trouvées** : nombre total de vulnérabilités trouvées dans tous les référentiels analysés.

  •         **Copilot Autofix** : le nombre de vulnérabilités éligibles pour Copilot Autofix. L’activation de GitHub Code Security vous donne accès à Copilot Autofix, ce qui peut suggérer automatiquement des correctifs pour ces alertes.

Étape 2 : Passer en revue les vulnérabilités par langue

Examinez le graphique des vulnérabilités par langage pour comprendre les langues de votre base de code qui contribuent le plus à votre nombre global de vulnérabilités.

Si des vulnérabilités sont concentrées dans une langue particulière, cela peut indiquer :

  • Infrastructures ou modèles spécifiques en cours d’utilisation qui présentent des faiblesses courantes
  • Équipes travaillant dans ce langage qui peuvent tirer parti des conseils de codage sécurisé ciblés

Étape 3 : Identifier les référentiels les plus affectés

Dans le tableau des référentiels analysés, vous pouvez voir chaque référentiel analysé avec le ratio de vulnérabilités éligibles pour Copilot Autofix les vulnérabilités totales trouvées.

La métrique du référentiel le plus vulnérable en haut de la page met en évidence le référentiel avec le nombre de vulnérabilités le plus élevé. Il s’agit d’un bon point de départ lors de la hiérarchisation de la correction.

Si un pourcentage élevé de référentiels contiennent des vulnérabilités, cela peut indiquer :

  • Lacunes généralisées dans les pratiques de codage sécurisées entre les équipes
  • Besoin d’outils et de garde-fous à l’échelle de l’organisation comme code scanning

Si seuls quelques référentiels contiennent des vulnérabilités, vous pouvez concentrer les efforts de correction sur des équipes ou des bases de code spécifiques.

Étape 4 : Passer en revue les règles détectées

Faites défiler jusqu’à la table Règles détectée pour afficher une répartition des vulnérabilités par règle, notamment :

  •         **Règle** : classe spécifique du problème de sécurité détectée

  •         **Gravité de la règle** : niveau de gravité (critique, élevé, moyen ou faible)

  •         **Référentiels distincts** : nombre de dépôts différents contenant cette violation de règle

  •         **Vulnérabilités trouvées** : nombre total de violations de cette règle dans tous les référentiels

La table trie par défaut le nombre de vulnérabilités, ce qui vous aide à identifier les problèmes les plus répandus. Portez une attention particulière aux règles avec une gravité critique ou élevée qui apparaissent sur plusieurs référentiels, car elles représentent le plus grand risque.

Étape 5 : Hiérarchiser la correction

Maintenant que vous comprenez les métriques, hiérarchisez la correction en fonction du risque.

Les vulnérabilités de priorité la plus élevée sont des règles critiques et de gravité élevée qui apparaissent sur plusieurs référentiels, car elles :

  • Représenter l’impact potentiel le plus important en cas d’exploitation
  • Sont présents dans le code sur lequel vos équipes travaillent activement

Ensuite, corrigez les vulnérabilités qui présentent un risque inférieur ou nécessitent davantage d’efforts pour corriger :

  •         **Problèmes de gravité moyenne et faible**, qui peuvent toujours poser des risques, mais qui sont moins immédiatement critiques

  •         **Règles apparaissant dans un seul référentiel**, qui représentent une exposition plus limitée

Recherchez également les indicateurs suivants, qui peuvent nécessiter une intervention plus large au-delà des correctifs individuels :

  •         **De nombreux référentiels affectés par la même règle** : suggère un modèle systémique qui peut nécessiter une formation d’équipe ou des normes de codage mises à jour

  •         **Nombre élevé de vulnérabilités dans un langage spécifique** : peut pointer vers des problèmes de niveau framework ou des outils d’analyse manquants pour ce langage

Étapes suivantes

Pour commencer à corriger les vulnérabilités avec Copilot Autofix, activez GitHub Code Security pour votre organisation. Deux options s'offrent à vous :

  • Pour activer GitHub Code Security un référentiel individuel, cliquez sur Activer en regard d’un référentiel dans la table « Référentiels analysés ».
  • Pour activer GitHub Code Security l’ensemble de votre organisation, cliquez sur Activer Code Security en haut de la page. Ici, vous pouvez choisir de l’activer pour tous les référentiels ou référentiels sélectionnés, puis passer en revue le coût estimé avant de confirmer.