Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A visão geral de segurança fornece um painel único com um resumo do risco de segurança da sua organização e do status de habilitação de Segurança Avançada. Todas as organizações, independentemente de terem um repositório habilitado para Segurança Avançada, podem ver a guia visão geral de segurança nas configurações da organização.
O GitHub Advanced Security para Azure DevOps funciona com o Azure Repos. Para usar a Segurança Avançada do GitHub com repositórios do GitHub, consulte a Segurança Avançada do GitHub.
Sobre a visão geral de segurança
Todos os membros da organização que têm acesso para exibir as configurações da organização podem exibir a visão geral de segurança. A visão geral da segurança inclui três abas:
- Risco – mostra a distribuição de alertas totais e de alertas por severidade em todos os projetos e repositórios com a Segurança Avançada habilitada.
- Cobertura – mostra o status de habilitação dos recursos de Segurança Avançada em todos os repositórios em sua organização.
- Alertas – mostra alertas individuais em todos os repositórios em sua organização, com recursos de filtragem e pesquisa.
Aba de risco
Para acessar a visão geral de segurança da sua organização, acesse a visão geral de segurança das configurações > da organização. A exibição padrão é a guia Risco , que mostra um resumo dos alertas de segurança em toda a sua organização.
Na exibição de Risco , somente repositórios com Segurança Avançada habilitada são mostrados. As contagens de alertas relatadas são apenas para alertas descobertos na ramificação padrão de cada repositório. Os repositórios desabilitados e excluídos são excluídos automaticamente dos resultados.
Você pode classificar por cada um dos cabeçalhos de coluna na tabela (Open, New, Dismissed, Fixed) e modificar sua consulta usando a barra de pesquisa para procurar as palavras-chave ou usar os filtros suspensos de projeto, ferramenta e intervalo de tempo. O intervalo de tempo padrão será mostrar os resultados dos últimos sete dias. Quaisquer filtros aplicados também serão enviados como um parâmetro de URL para facilitar o compartilhamento da sua consulta.
Você pode exportar resultados da guia Risco para um arquivo CSV para análise ou relatório offline.
Aba Cobertura
Na guia Cobertura , a visão geral de segurança mostra todos os repositórios em sua empresa, independentemente do status de habilitação. Os resultados excluem automaticamente repositórios desabilitados e excluídos. Para todos os repositórios que têm a Segurança Avançada habilitada, a visão geral inclui um detalhamento de cada ferramenta:
A verificação de dependência, a verificação de código e os alertas de verificação de segredo são habilitados quando um arquivo de resultado SARIF é enviado com êxito à Segurança Avançada. Em outras palavras, uma análise bem-sucedida, independentemente da descoberta de alerta em qualquer ramificação de um repositório, ilumina a cobertura para a ferramenta e o repositório específicos. O status de habilitação não considera a atualidade da verificação. Pode haver um atraso de até 24 horas para eventos de habilitação recentes após a seleção de Enable all no nível da organização ou do projeto.
Passar o mouse sobre um repositório específico e selecionar o ícone de engrenagem direciona você para o painel de configurações desse repositório, onde você pode habilitar a Segurança Avançada. Para obter mais informações sobre como configurar recursos de Segurança Avançada, consulte Configurar a Segurança Avançada do GitHub.
Você pode exportar resultados da guia Cobertura para um arquivo CSV.
Aba Alertas
A guia Alertas fornece uma exibição combinada de alertas de segurança individuais em todos os repositórios em sua organização. Em vez de navegar para cada repositório individualmente, você pode pesquisar, filtrar e priorizar alertas de um painel centralizado.
Filtragem e pesquisa
A guia Alertas dá suporte à filtragem:
- Ferramenta – filtrar por fonte de alerta, como verificação de código, verificação de dependência ou verificação secreta.
- Severidade – filtrar por nível de severidade de alerta, como crítico, alto, médio ou baixo.
- Estado – filtrar por estado de alerta, como aberto, descartado ou corrigido.
- Project — filtrar por Azure DevOps project.
- Repositório – filtrar por repositório específico.
- Por período — filtre alertas por quando foram gerados.
Ao selecionar uma ferramenta específica, você verá filtros específicos. Para segredos, esses filtros incluem validade e tipo de segredo. Para dependências, esses filtros incluem pacote e ecossistema. No caso do código, esses filtros incluem ferramentas e regras.
Exportar
Você pode exportar até os primeiros 1.000 alertas da guia Alertas para um arquivo CSV para análise offline, relatórios ou integração com outras ferramentas. A exportação respeita seus filtros aplicados no momento.
Campanhas de segurança
As campanhas de segurança permitem que você crie e compartilhe exibições filtradas de alertas para coordenar os esforços de correção entre as equipes. Use filtros para se concentrar em tipos de vulnerabilidade específicos, níveis de severidade ou repositórios e compartilhe a exibição da campanha com sua equipe usando a URL.
A página aplica filtros como parâmetros de URL. Você pode compartilhar facilmente uma exibição filtrada específica com sua equipe copiando a URL.
As campanhas são úteis para:
- Correção baseada em sprint – crie uma campanha para todos os alertas críticos em um projeto específico para acompanhar o progresso da correção durante um sprint.
- Triagem específica por ferramenta — filtre por uma ferramenta de varredura específica para revisar e triar todos os alertas dessa origem.
- Coordenação entre repositórios — compartilhe uma visualização filtrada com engenheiros de vários repositórios para reduzir uma categoria específica de vulnerabilidades.