Nota: A visão geral de segurança está atualmente na versão beta e sujeita a alterações.
Sobre a visão geral de segurança
Você pode usar a visão geral de segurança para uma visão de alto nível do status de segurança da sua organização ou para identificar repositórios problemáticos que exigem intervenção. A nível da organização, a visão geral de segurança exibe informações de segurança agregadas e específicas para repositórios pertencentes à sua organização. No nível da equipe, a visão geral de segurança exibe informações de segurança específicas para repositórios para os quais a equipe tem privilégios de administrador. Para obter mais informações, consulte "Managing team access to an organization repository."
A visão geral de segurança indica se as funcionalidades segurança estão habilitadas para os repositórios pertencentes à sua organização e consolida alertas para cada funcionalidade. As funcionalidades de segurança includem recursos de Segurança Avançada GitHub como, por exemplo, Varredura de código e varredura secreta, bem como Alertas do Dependabot. Para obter mais informações sobre as funcionalidades de Segurança Avançada GitHub, consulte "Sobre Segurança Avançada GitHub." Para obter mais informações sobre Alertas do Dependabot, consulte "Sobre alertas de dependências vulneráveis."
Para obter mais informações sobre como proteger seu código nos níveis do repositório e da organização, consulte "Protegendo seu repositório" e "Protegendo sua organização".
No resumo da segurança, é possível visualizar, ordenar e filtrar alertas para entender os riscos de segurança na sua organização e nos repositórios específicos. Você pode aplicar vários filtros para concentrar-se em áreas de interesse. Por exemplo, você pode identificar repositórios privados que têm um número elevado de Alertas do Dependabot ou repositórios que não têm alertas Varredura de código.
Para cada repositório na visão de segurança, você verá ícones para cada tipo de recurso de segurança e quantos alertas existem de cada tipo. Se um recurso de segurança não estiver habilitado para um repositório, o ícone para esse recurso será cinza.
| Ícone | Significado |
|---|---|
| Alertas de Varredura de código. Para obter mais informações, consulte "Sobre Varredura de código | |
| Alertas de Varredura secreta. Para obter mais informações, consulte "Sobre varredura secreta | |
| Alertas do Dependabot. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis" | |
| O recurso de segurança está habilitado, mas não envia alertas neste repositório. | |
| O recurso de segurança não é compatível com este repositório. |
Por padrão, os repositórios arquivados são excluídos da visão geral de segurança de uma organização. É possível aplicar filtros para visualizar repositórios arquivados na visão geral de segurança. Para obter mais informações, consulte "Filtrar a lista de alertas".
A visão geral de segurança exibe alertas ativos criados por funcionalidades de segurança. Se não houver alertas na visão geral de segurança de um repositório, as vulnerabilidades de segurança não detectadas ou erros de código ainda poderão existir.
Visualizar a visão geral de segurança de uma organização
Os proprietários da organização podem ver a visão geral de segurança para uma organização.
- No GitHub, navegue para a página principal da organização.
- No nome da sua organização, clique em Segurança.
- Para visualizar informações agregadas sobre tipos de alertas, clique em Mostrar mais.
- Opcionalmente, filtre a lista de alertas. Você pode clicar em vários filtros nos menus suspensos de filtro para restringir a sua pesquisa. Você também pode digitar qualificadores de pesquisa no campo Pesquisar repositórios. Para obter mais informações sobre os qualificadores disponíveis, consulte "Filtrando a lista de alertas".
Visualizar a visão geral de segurança de uma equipe
Os integrantes de uma equipe podem visualizar a visão geral de segurança dos repositórios para os quais a equipe tem privilégios de administrador.
- No canto superior direito do GitHub, clique na sua foto de perfil e, em seguida, clique em Suas organizações.
- Click the name of your organization.
- Abaixo do nome da sua organização, clique em
Teams.
- Na aba Teams (Equipes), clique no nome da equipe.
- Na parte superior da página, clique em Segurança.
- Opcionalmente, filtre a lista de alertas. Você pode clicar em vários filtros nos menus suspensos de filtro para restringir a sua pesquisa. Você também pode digitar qualificadores de pesquisa no campo Pesquisar repositórios. Para obter mais informações sobre os qualificadores disponíveis, consulte "Filtrando a lista de alertas".
Filtrar a lista de alertas
Filtrar por nível de risco para repositórios
O nível de risco para um repositório é determinado pelo número e gravidade dos alertas de funcionalidades de segurança. Se uma ou mais funcionalidades de segurança não estiverem habilitadas para um repositório, o repositório terá um nível de risco desconhecido. Se um repositório não tiver riscos detectados por funcionalidades de segurança, o repositório terá um nível claro de risco.
| Qualifier | Descrição |
|---|---|
risk:high | Exibe repositórios que estão em alto risco. |
risk:medium | Exibe repositórios que estão em risco médio. |
risk:low | Exibe repositórios que estão em risco baixo. |
risk:unknown | Exibir repositórios que estão com um nível de risco desconhecido. |
risk:clear | Exibe repositórios que não tem um nível de risco identificado. |
Filtrar por número de alertas
| Qualifier | Descrição |
|---|---|
code-scanning-alerts:n | Exibe repositórios que têm n alertas de Varredura de código. Este qualificador pode usar os operadores > e < de comparação. |
secret-scanning-alerts:n | Exibe repositórios que têm n alertas de varredura secreta. Este qualificador pode usar os operadores > e < de comparação. |
dependabot-alerts:n | Exibir repositórios que têm n Alertas do Dependabot. Este qualificador pode usar os operadores > e < de comparação. |
Filtrar se as funcionalidades de segurança estão habilitadas
| Qualifier | Descrição |
|---|---|
enabled:code-scanning | Exibe repositórios com Varredura de código habilitado. |
not-enabled:code-scanning | Exibe repositórios que não têm Varredura de código habilitado. |
enabled:secret-scanning | Exibe repositórios com varredura secreta habilitado. |
not-enabled:secret-scanning | Exibe repositórios com varredura secreta habilitado. |
enabled:dependabot-alerts | Exibe repositórios com Alertas do Dependabot habilitado. |
not-enabled:dependabot-alerts | Exibe repositórios que não têm Alertas do Dependabot habilitado. |
Filtrar por tipo de repositório
| Qualificador | Descrição | | -------- | -------- | | is:public | Exibe repositórios públicos. | | is:internal | Exibe repositórios internos. | | is:private | Exibe repositórios privados. | | archived:true | Exibe repositórios arquivados. |
Filtrar por equipe
| Qualifier | Descrição |
|---|---|
team:TEAM-NAME | Exibe os repositórios para os quais TEAM-NAME tem privilégios de administrador. |
Filtrar por tópico
| Qualifier | Descrição |
|---|---|
topic:TOPIC-NAME | Exibe repositórios que são classificados com o TOPIC-NAME. |
Classificar a lista de alertas
| Qualifier | Descrição |
|---|---|
sort:risk | Classifica os repositórios na visão geral de segurança por risco. |
sort:repos | Classifica alfabeticamente pelo nome os repositórios na sua visão geral de segurança. |
sort:code-scanning-alerts | Classifica os repositórios na visão geral de segurança por número de alertas de Varredura de código. |
sort:secret-scanning-alerts | Classifica os repositórios na visão geral de segurança por número de alertas de varredura secreta. |
sort:dependabot-alerts | Classifica os repositórios na sua visão geral de segurança por número de Alertas do Dependabot. |