Interpretando os resultados da avaliação de risco de segurança de código

Entenda os resultados de sua code security risk assessment e priorize a remediação de vulnerabilidades.

Quem pode usar esse recurso?

Proprietários e gerentes de segurança da organização

Neste artigo

Introdução

Neste tutorial, você interpretará seus code security risk assessment resultados e aprenderá a:

  • Entender as métricas de risco no painel
  • Identificar quais repositórios e idiomas são mais afetados
  • Priorizar vulnerabilidades para correção

Pré-requisitos

Você deve gerar um relatório code security risk assessment e aguardar a conclusão da varredura. Consulte Executando a avaliação de risco de segurança de código para sua organização.

Etapa 1: Compreender as métricas do painel de controle

Após a conclusão da avaliação, examine as principais métricas na parte superior do painel:

  •         **Total de repositórios verificados**: o número de repositórios que foram verificados com êxito dos selecionados.

  •         **Total de vulnerabilidades encontradas**: o número total de vulnerabilidades encontradas em todos os repositórios verificados.

  •         **Copilot Autofix**: o número de vulnerabilidades qualificadas para Copilot Autofix. Habilitar GitHub Code Security lhe dá acesso a Copilot Autofix, que pode sugerir automaticamente correção para esses alertas.

Etapa 2: Examinar vulnerabilidades por idioma

Consulte o gráfico de Vulnerabilidades por idioma para entender quais idiomas em seu código-fonte estão contribuindo mais para sua contagem geral de vulnerabilidades.

Se as vulnerabilidades estiverem concentradas em um idioma específico, isso poderá indicar:

  • Estruturas ou padrões específicos em uso que introduzem pontos fracos comuns
  • Equipes que trabalham nesse idioma que podem se beneficiar de diretrizes de codificação segura direcionadas

Etapa 3: identificar os repositórios mais afetados

Na tabela Repositórios verificados, você pode ver cada repositório verificado juntamente com a proporção de vulnerabilidades elegíveis para Copilot Autofix do total de vulnerabilidades encontradas.

A métrica de repositório mais vulnerável na parte superior da página realça o repositório com a maior contagem de vulnerabilidades. Este é um bom lugar para começar ao priorizar a correção.

Se um alto percentual de repositórios contiver vulnerabilidades, isso poderá indicar:

  • Lacunas generalizadas em práticas de codificação seguras entre equipes
  • A necessidade de ferramentas e guardrails em toda a organização, tal como code scanning

Se apenas alguns repositórios contiverem vulnerabilidades, você poderá concentrar esforços de correção em equipes ou bases de código específicas.

Etapa 4: Revisão de regras detectadas

Role até a tabela Regras detectadas para ver uma divisão de vulnerabilidades por regra, incluindo:

  •         **Regra**: A classe específica de problema de segurança detectada

  •         **Gravidade da regra**: o nível de gravidade (crítico, alto, médio ou baixo)

  •         **Repositórios distintos**: quantos repositórios diferentes contêm essa violação de regra

  •         **Vulnerabilidades encontradas**: a contagem total dessa violação de regra em todos os repositórios

A tabela classifica por contagem de vulnerabilidades por padrão, ajudando você a identificar os problemas mais prevalentes. Preste atenção especial às regras com uma severidade crítica ou alta que aparecem em vários repositórios, pois elas representam o maior risco.

Etapa 5: Priorizar a correção

Agora que você entende as métricas, priorize a correção com base no risco.

As vulnerabilidades de prioridade mais alta são regras críticas e de alta gravidade que aparecem em vários repositórios, pois:

  • Pode representar o maior impacto potencial se explorado
  • Estão presentes no código em que as suas equipes estão ativamente trabalhando

Em seguida, resolva vulnerabilidades que apresentam menor risco ou exijam mais esforço para corrigir:

  •         **Problemas de gravidade média e baixa**, que ainda podem representar risco, mas são menos críticos imediatamente

  •         **Regras que aparecem em apenas um repositório**, que representam uma exposição mais contida

Procure também os seguintes indicadores, que podem exigir uma intervenção mais ampla além das correções individuais:

  •         **Muitos repositórios afetados pela mesma regra**: sugere um padrão sistêmico que pode exigir treinamento em equipe ou padrões de codificação atualizados

  •         **Altas contagens de vulnerabilidade em um idioma específico**: pode apontar para problemas no nível da estrutura ou ferramentas de verificação ausentes para esse idioma

Próximas Etapas 

Para começar a corrigir vulnerabilidades com Copilot Autofix, habilite GitHub Code Security para sua organização. Você tem duas opções:

  • Para habilitar GitHub Code Security um repositório individual, clique em Habilitar ao lado de um repositório na tabela "Repositórios verificados".
  • Para habilitar GitHub Code Security em toda a sua organização, clique em Habilitar Code Security na parte superior da página. Aqui, você pode escolher se deseja habilitá-lo para todos os repositórios ou repositórios selecionados e examinar o custo estimado antes de confirmar.