Sobre a visão geral de segurança

Você pode obter insights sobre o cenário geral de segurança de sua organização ou empresa e identificar repositórios que exigem intervenção usando a visão geral de segurança.

Quem pode usar esse recurso?

A visão geral de segurança está disponível para todas as organizações pertencentes ao GitHub Team ou GitHub Enterprise que executaram Secret risk assessment.

Exibições adicionais estão disponíveis para organizações.

Neste artigo

A visão geral de segurança contém exibições focadas nas quais você pode explorar tendências na detecção, correção e prevenção de alertas de segurança e se aprofundar no estado atual de suas bases de código.

Todas as organizações no GitHub Enterprise podem usar dados do Dependabot para avaliar a segurança de sua cadeia de suprimentos em todos os repositórios.

Além disso, dados de recursos do Advanced Security, como a code scanning e a secret scanning, são mostrados para organizações e empresas que usam o GitHub Advanced Security, confira Sobre alertas do Dependabot e Sobre GitHub Segurança Avançada.

Sobre as exibições

Observação

Todas as visualizações mostram informações e métricas para as ramificações padrão dos repositórios que você tem permissão para visualizar em uma organização ou empresa.

As visualizações são interativas, com filtros que permitem analisar os dados agregados em detalhes e identificar fontes de alto risco, visualizar tendências de segurança e observar o impacto da análise de pull requests no bloqueio de vulnerabilidades de segurança que entram no seu código. Conforme você aplica vários filtros para se concentrar em áreas mais específicas de interesse, os dados e métricas na exibição são alterados para refletir a seleção atual. Para saber mais, confira Visão geral da filtragem de alertas na segurança.

Há exibições dedicadas para cada tipo de alerta de segurança. Você pode limitar sua análise a um tipo específico de alerta e, em seguida, refinar ainda mais os resultados com uma variedade de filtros específicos para cada visualização. Por exemplo, na exibição de alertas do secret scanning, você pode usar o filtro "Tipo secreto" para exibir apenas o alertas de escaneamento de segredos de um segredo específico, como um GitHub personal access token.

Observação

A visão geral de segurança exibe alertas ativos criados por funcionalidades de segurança. Se não houver alertas mostrados na visão geral de segurança de um repositório, as vulnerabilidades de segurança não detectadas ou os erros de código ainda poderão existir ou o recurso poderá não estar habilitado para esse repositório.

Sobre a visão geral de segurança para organizações

A equipe de segurança de aplicativos da sua empresa pode usar as diversas exibições para análises amplas e específicas do status de segurança da sua organização. Por exemplo, a equipe pode usar a exibição do painel "Overview" para acompanhar o cenário e a progressão da segurança de sua organização.

A visão geral de segurança pode ser encontrada na guia Segurança de qualquer organização. Cada exibição mostra um resumo dos dados aos quais você tem acesso. Conforme você adiciona filtros, todos os dados e métricas na exibição são alterados para refletir os repositórios ou alertas selecionados.

A visão geral de segurança tem várias exibições que fornecem diferentes maneiras de explorar a habilitação e os dados de alerta.

  •         **Visão geral:** visualize tendências em **Detecção**, **Correção** e **Prevenção** de alertas de segurança. Para obter informações sobre como acessar e usar o painel, consulte [AUTOTITLE](/code-security/security-overview/viewing-security-insights). Para obter explicações detalhadas sobre métricas e cálculos, consulte [AUTOTITLE](/code-security/reference/security-at-scale/security-overview-dashboard-metrics).

  •         **Exibições de risco e alerta:** explore o risco de alertas de segurança de todos os tipos ou concentre-se em um único tipo de alerta e identifique seu risco de dependências vulneráveis específicas, pontos fracos de código ou segredos vazados, consulte [AUTOTITLE](/code-security/security-overview/assessing-code-security-risk).

  •         **Cobertura:** avalie a adoção de recursos de segurança em repositórios na organização, confira [AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security).

  •         **Tendências de capacitação:** veja a rapidez com que diferentes equipes estão adotando recursos de segurança.

  •         **Alertas de pull request do CodeQL:** avalie o impacto de executar CodeQL em pull requests e como as equipes de desenvolvimento estão resolvendo alertas de verificação de código. Confira [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts).

  •         **Insights de Secret scanning:** descubra que tipos de segredo são bloqueados por proteção de push  e que equipes estão ignorando proteção de push, confira [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-secret-scanning-push-protection) e [AUTOTITLE](/code-security/security-overview/reviewing-requests-to-bypass-push-protection).

Sobre a visão geral de segurança para empresas

Você pode encontrar a visão geral de segurança na guia Security da sua empresa. Cada página exibe informações de segurança agregadas e específicas ao repositório para sua empresa.

A visão geral de segurança para empresas tem várias exibições que fornecem diferentes maneiras de explorar dados, incluindo um painel de visão geral que visualiza tendências de alerta. Para obter informações sobre o painel, consulte Exibir insights de segurança e Métricas do painel de visão geral de segurança.

Acesso aos dados na visão geral de segurança

O que você pode ver na visão geral de segurança depende de sua função e permissões na organização ou na empresa.

Em geral:

  •         **Os proprietários da organização e os gerentes de segurança** podem exibir dados de segurança em todos os repositórios em sua organização.

  •         **Os membros da organização** podem exibir dados apenas para repositórios em que têm acesso a alertas de segurança.

  •         **Os proprietários corporativos** podem exibir dados de segurança agregados na visão geral de segurança em nível empresarial para organizações em que são proprietários ou gerentes de segurança da organização. Para ver os detalhes no nível do repositório, eles devem ter a função apropriada dentro da organização.

A visão geral de segurança exibe dados apenas para repositórios que você tem permissão para exibir, e algumas exibições ou ações podem ser limitadas com base em sua função.

Para obter informações detalhadas de permissão de função por função, incluindo quais exibições estão disponíveis e como o acesso ao repositório afeta a visibilidade, consulte Permissões de visão geral sobre segurança.

Noções básicas sobre a precisão dos dados do painel

O painel de visão geral exibe métricas com base no estado atual de seus repositórios e no estado histórico dos alertas de segurança. Esse modelo de dados tem implicações importantes para a consistência de dados:

          **Alterações de dados ao longo do tempo:** As métricas do painel podem ser alteradas para o mesmo período de tempo histórico quando exibidas em momentos diferentes. Isso ocorre quando os repositórios são excluídos, os avisos de segurança são modificados ou outras alterações afetam os dados subjacentes. Se você precisar de dados consistentes para fins de auditoria ou relatórios de conformidade, use o log de auditoria. Consulte [AUTOTITLE](/code-security/getting-started/auditing-security-alerts).

          **Os dados de alerta são históricos; os atributos do repositório são atuais:** O painel rastreia alertas de segurança com base em seu estado histórico durante o período de tempo selecionado. No entanto, os filtros de repositório (como o status arquivado/ativo) refletem o _estado atual_ dos repositórios.

Por exemplo, se você arquivar um repositório hoje, todos os alertas abertos nesse repositório serão fechados automaticamente. Se você exibir o painel de visão geral da semana passada:

  • O repositório só é exibido quando você filtra para mostrar repositórios arquivados (seu estado atual)
  • Os alertas desse repositório aparecem como abertos (seu estado durante a semana passada)

Esse design garante que as tendências de alerta reflitam com precisão a atividade de segurança durante o período de tempo que você está analisando, enquanto os filtros de repositório ajudam você a se concentrar na estrutura atual do repositório.

Leitura adicional

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-enterprise-security/establish-complete-coverage)

  •         [AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)