Interpretando os resultados da avaliação de risco de segurança de código

Entenda os resultados de sua code security risk assessment e priorize a remediação de vulnerabilidades.

Quem pode usar esse recurso?

Proprietários e gerentes de segurança da organização

Neste artigo

Introdução

Neste tutorial, você interpretará seus code security risk assessment resultados e aprenderá a:

  • Entender as métricas de risco no painel
  • Identificar quais repositórios e idiomas são mais afetados
  • Priorizar vulnerabilidades para correção

Pré-requisitos

Você deve gerar um relatório code security risk assessment e aguardar a conclusão da varredura. Consulte Executando a avaliação de risco de segurança de código para sua organização.

Etapa 1: Compreender as métricas do painel de controle

Após a conclusão da avaliação, examine as principais métricas na parte superior do painel:

  • Total de repositórios verificados: o número de repositórios que foram verificados com êxito dos selecionados.
  • Total de vulnerabilidades encontradas: o número total de vulnerabilidades encontradas em todos os repositórios verificados.
  • Copilot Autofix: o número de vulnerabilidades qualificadas para Autofixo do Copilot. Habilitar GitHub Code Security lhe dá acesso a Autofixo do Copilot, que pode sugerir automaticamente correção para esses alertas.

Etapa 2: Examinar vulnerabilidades por idioma

Consulte o gráfico de Vulnerabilidades por idioma para entender quais idiomas em seu código-fonte estão contribuindo mais para sua contagem geral de vulnerabilidades.

Se as vulnerabilidades estiverem concentradas em um idioma específico, isso poderá indicar:

  • Estruturas ou padrões específicos em uso que introduzem pontos fracos comuns
  • Equipes que trabalham nesse idioma que podem se beneficiar de diretrizes de codificação segura direcionadas

Etapa 3: identificar os repositórios mais afetados

Na tabela Repositórios verificados, você pode ver cada repositório verificado juntamente com a proporção de vulnerabilidades elegíveis para Autofixo do Copilot do total de vulnerabilidades encontradas.

A métrica de repositório mais vulnerável na parte superior da página realça o repositório com a maior contagem de vulnerabilidades. Este é um bom lugar para começar ao priorizar a correção.

Se um alto percentual de repositórios contiver vulnerabilidades, isso poderá indicar:

  • Lacunas generalizadas em práticas de codificação seguras entre equipes
  • Necessidade de ferramentas e proteções em toda a organização, como code scanning

Se apenas alguns repositórios contiverem vulnerabilidades, você poderá concentrar esforços de correção em equipes ou bases de código específicas.

Etapa 4: Revisão de regras detectadas

Role até a tabela Regras detectadas para ver uma divisão de vulnerabilidades por regra, incluindo:

  • Regra: A classe específica de problema de segurança detectada
  • Gravidade da regra: o nível de gravidade (crítico, alto, médio ou baixo)
  • Repositórios distintos: quantos repositórios diferentes contêm essa violação de regra
  • Vulnerabilidades encontradas: a contagem total dessa violação de regra em todos os repositórios

A tabela classifica por contagem de vulnerabilidades por padrão, ajudando você a identificar os problemas mais prevalentes. Preste atenção especial às regras com uma severidade crítica ou alta que aparecem em vários repositórios, pois elas representam o maior risco.

Etapa 5: Priorizar a correção

Agora que você entende as métricas, priorize a correção com base no risco.

As vulnerabilidades de prioridade mais alta são regras críticas e de alta gravidade que aparecem em vários repositórios, pois:

  • Pode representar o maior impacto potencial se explorado
  • Estão presentes no código em que as suas equipes estão ativamente trabalhando

Em seguida, resolva vulnerabilidades que apresentam menor risco ou exijam mais esforço para corrigir:

  • Problemas de gravidade média e baixa, que ainda podem representar risco, mas são menos críticos imediatamente
  • Regras que aparecem em apenas um repositório, que representam uma exposição mais contida

Procure também os seguintes indicadores, que podem exigir uma intervenção mais ampla além das correções individuais:

  • Muitos repositórios afetados pela mesma regra: sugere um padrão sistêmico que pode exigir treinamento em equipe ou padrões de codificação atualizados
  • Altas contagens de vulnerabilidade em um idioma específico: pode apontar para problemas no nível da estrutura ou ferramentas de verificação ausentes para esse idioma

Próximas Etapas 

Para começar a corrigir vulnerabilidades com Autofixo do Copilot, habilite GitHub Code Security para sua organização. Você tem duas opções:

  • Para habilitar GitHub Code Security um repositório individual, clique em Habilitar ao lado de um repositório na tabela "Repositórios verificados".
  • Para habilitar GitHub Code Security em toda a sua organização, clique em Habilitar Code Security na parte superior da página. Aqui, você pode escolher se deseja habilitá-lo para todos os repositórios ou repositórios selecionados e examinar o custo estimado antes de confirmar.