Sobre a visão geral de segurança

Você pode obter insights sobre o cenário geral de segurança de sua organização ou empresa e identificar repositórios que exigem intervenção usando a visão geral de segurança.

Quem pode usar esse recurso?

A visão geral de segurança está disponível para todas as organizações pertencentes ao GitHub Team ou GitHub Enterprise que executaram Secret risk assessment.

Exibições adicionais estão disponíveis para

  • Organizações pertencentes a uma conta do GitHub Team com GitHub Secret Protection or GitHub Code Security
  • Organizações pertencentes a uma conta do GitHub Enterprise

Descubra como executar uma avaliação de risco de segredo gratuita

Neste artigo

A visão geral de segurança fornece insights sobre a segurança do código armazenado nos repositórios de sua organização.

  •         **Todas as organizações**GitHub Team podem usar o **secret risk assessment** gratuitamente para avaliar a exposição de sua organização a segredos vazados, consulte [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization).

  •         GitHub Team contas que compram **GitHub Secret Protection or GitHub Code Security** têm acesso a exibições com insights adicionais.

As informações abaixo descrevem as exibições disponíveis para as organizações com GitHub Secret Protection or GitHub Code Security as quais você pode usar para identificar tendências de detecção, correção e prevenção de alertas de segurança e aprofundar-se no estado atual de seus repositórios.

Sobre as exibições

Observação

Todas as visualizações mostram informações e métricas para as ramificações padrão dos repositórios que você tem permissão para visualizar em uma organização ou empresa.

As visualizações são interativas, com filtros que permitem analisar os dados agregados em detalhes e identificar fontes de alto risco, visualizar tendências de segurança e observar o impacto da análise de pull requests no bloqueio de vulnerabilidades de segurança que entram no seu código. Conforme você aplica vários filtros para se concentrar em áreas mais específicas de interesse, os dados e métricas na exibição são alterados para refletir a seleção atual. Para saber mais, confira Visão geral da filtragem de alertas na segurança.

          Na visão geral de segurança, você pode baixar arquivos CSV (valores separados por vírgulas) que contêm dados de várias páginas da visão geral de segurança de sua organização ou empresa. Esses arquivos de dados podem ser usados para esforços como pesquisa de segurança e análise de dados aprofundada e podem se integrar facilmente a conjuntos de dados externos. Para obter mais informações, consulte [AUTOTITLE](/code-security/security-overview/exporting-data-from-security-overview).

Há exibições dedicadas para cada tipo de alerta de segurança. Você pode limitar sua análise a um tipo específico de alerta e, em seguida, refinar ainda mais os resultados com uma variedade de filtros específicos para cada visualização. Por exemplo, no modo de visualização secret scanning de alerta, você pode usar o filtro "Tipo secreto" para exibir somente alertas de escaneamento de segredos para um segredo específico, como um GitHubpersonal access token.

Observação

A visão geral de segurança exibe alertas ativos criados por funcionalidades de segurança. Se não houver alertas mostrados na visão geral de segurança de um repositório, as vulnerabilidades de segurança não detectadas ou os erros de código ainda poderão existir ou o recurso poderá não estar habilitado para esse repositório.

Sobre a visão geral de segurança para organizações

A equipe de segurança de aplicativos da sua empresa pode usar as diversas exibições para análises amplas e específicas do status de segurança da sua organização. Por exemplo, a equipe pode usar a exibição do painel "Overview" para acompanhar o cenário e a progressão da segurança de sua organização.

Você pode encontrar uma visão geral de segurança no Security and quality guia para qualquer organização. Cada exibição mostra um resumo dos dados aos quais você tem acesso. Conforme você adiciona filtros, todos os dados e métricas na exibição são alterados para refletir os repositórios ou alertas selecionados.

A visão geral de segurança tem várias exibições que fornecem diferentes maneiras de explorar a habilitação e os dados de alerta.

  •         **Visão geral:** visualize tendências em **Detecção**, **Correção** e **Prevenção** de alertas de segurança. Para obter informações sobre como acessar e usar o painel, consulte [AUTOTITLE](/code-security/security-overview/viewing-security-insights). Para obter explicações detalhadas sobre métricas e cálculos, consulte [AUTOTITLE](/code-security/reference/security-at-scale/security-overview-dashboard-metrics).

  •         **Exibições de risco e alerta:** explore o risco de alertas de segurança de todos os tipos ou concentre-se em um único tipo de alerta e identifique seu risco de dependências vulneráveis específicas, pontos fracos de código ou segredos vazados, consulte [AUTOTITLE](/code-security/security-overview/assessing-code-security-risk).

  •         **Cobertura:** avalie a adoção de recursos de segurança entre repositórios na organização, consulte [AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security).

  •         **Avaliações:** independentemente do status de habilitação dos Advanced Security recursos, as organizações no GitHub Team e GitHub Enterprise podem gerar um relatório gratuito para escanear o código da organização em busca de segredos vazados, consulte [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment).

  •         **Campanhas:** coordenar e medir esforços de correção direcionados, agrupar tarefas de segurança relacionadas em repositórios, atribuir proprietários e acompanhar o progresso em direção às metas de redução de risco definidas.

  •         **Tendências de habilitação:** veja a rapidez com que diferentes equipes estão adotando recursos de segurança.

  •         **Alertas de solicitação de pull do CodeQL:** avalie o impacto da execução do CodeQL em solicitações de pull e como as equipes de desenvolvimento estão resolvendo alertas de verificação de código, consulte [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts).

        **
        Dependabot dashboard**: priorize e acompanhe vulnerabilidades críticas identificando, corrigindo e medindo melhorias de segurança entre repositórios.

  •         **
        Secret scanning insights:** descubra quais tipos de segredo são bloqueados pela proteção de push e quais equipes estão burlando a proteção de push, consulte [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-secret-scanning-push-protection) e [AUTOTITLE](/code-security/security-overview/reviewing-requests-to-bypass-push-protection).

Você também cria e gerencia campanhas de segurança para corrigir alertas da visão geral de segurança, consulte Criando e gerenciando campanhas de segurança e Executando uma campanha de segurança para corrigir alertas em escala.

Sobre a visão geral de segurança para empresas

Você pode encontrar uma visão geral sobre segurança na guia Security and quality da sua empresa. Cada página exibe informações de segurança agregadas e específicas ao repositório para sua empresa.

A visão geral de segurança para empresas tem várias exibições que fornecem diferentes maneiras de explorar dados, incluindo um painel de visão geral que visualiza tendências de alerta. Para obter informações sobre o painel, consulte Exibir insights de segurança e Métricas do painel de visão geral de segurança.

Acesso aos dados na visão geral de segurança

O que você pode ver na visão geral de segurança depende de sua função e permissões na organização ou na empresa.

Em geral:

  •         **Os proprietários da organização e os gerentes de segurança** podem exibir dados de segurança em todos os repositórios em sua organização.

  •         **Os membros da organização** podem exibir dados apenas para repositórios em que têm acesso a alertas de segurança.

  •         **Os proprietários corporativos** podem exibir dados de segurança agregados na visão geral de segurança em nível empresarial para organizações em que são proprietários ou gerentes de segurança da organização. Para ver os detalhes no nível do repositório, eles devem ter a função apropriada dentro da organização.

A visão geral de segurança exibe dados apenas para repositórios que você tem permissão para exibir, e algumas exibições ou ações podem ser limitadas com base em sua função.

Para obter informações detalhadas de permissão de função por função, incluindo quais exibições estão disponíveis e como o acesso ao repositório afeta a visibilidade, consulte Permissões de visão geral sobre segurança.

Noções básicas sobre a precisão dos dados do painel

O painel de visão geral exibe métricas com base no estado atual de seus repositórios e no estado histórico dos alertas de segurança. Esse modelo de dados tem implicações importantes para a consistência de dados:

          **Alterações de dados ao longo do tempo:** As métricas do painel podem ser alteradas para o mesmo período de tempo histórico quando exibidas em momentos diferentes. Isso ocorre quando os repositórios são excluídos, os avisos de segurança são modificados ou outras alterações afetam os dados subjacentes. Se você precisar de dados consistentes para fins de auditoria ou relatórios de conformidade, use o log de auditoria. Consulte [AUTOTITLE](/code-security/getting-started/auditing-security-alerts).

          **Os dados de alerta são históricos; os atributos do repositório são atuais:** O painel rastreia alertas de segurança com base em seu estado histórico durante o período de tempo selecionado. No entanto, os filtros de repositório (como o status arquivado/ativo) refletem o _estado atual_ dos repositórios.

Por exemplo, se você arquivar um repositório hoje, todos os alertas abertos nesse repositório serão fechados automaticamente. Se você visualizar o painel de visão geral da semana passada:

  • O repositório só é exibido quando você filtra para mostrar repositórios arquivados (seu estado atual)
  • Os alertas desse repositório aparecem como abertos (seu estado durante a semana passada)

Esse design garante que as tendências de alerta reflitam com precisão a atividade de segurança durante o período de tempo que você está analisando, enquanto os filtros de repositório ajudam você a se concentrar na estrutura atual do repositório.

Leitura adicional

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/code-security/securing-your-organization)

  •         [AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)