Интерпретация результатов оценки рисков безопасности кода

Понимайте результаты и code security risk assessment ставьте приоритеты в устранение уязвимости.

Кто может использовать эту функцию?

Владельцы организации и руководители по безопасности

В этой статье

Введение

В этом уроке вы интерпретируете свои code security risk assessment результаты и узнаете, как:

  • Понимание метрик риска на панели мониторинга
  • Определите, какие репозитории и языки наиболее затронуты
  • Приоритизировать уязвимости для устранения

Необходимые условия

Вам нужно сформировать code security risk assessment отчёт и дождаться завершения сканирования. См . раздел AUTOTITLE.

Шаг 1: Разберитесь с метриками панели управления

После завершения оценки ознакомьтесь с ключевыми показателями в верхней части панели управления:

  • Общее количество отсканированных репозиториев: количество репозиториев, успешно отсканированных из выбранных репозиториев.
  • Общее количество обнаруженных уязвимостей: общее количество уязвимостей, обнаруженных во всех отсканированных хранилищах.
  • Copilot Autofix: Количество уязвимостей, подходящих для Автофикс второго пилота. Включение GitHub Code Security даёт доступ к Автофикс второго пилота, который автоматически может предложить исправления этих оповещений.

Шаг 2: Проверьте уязвимости по языку

Посмотрите таблицу уязвимостей по языкам , чтобы понять, какие языки в вашей кодовой базе больше всего увеличивают общее количество уязвимостей.

Если уязвимости сосредоточены в определённом языке, это может указывать:

  • Специфические фреймворки или шаблоны, которые вводят распространённые слабости
  • Команды, работающие на этом языке, которые могут получить выгоду от целенаправленных рекомендаций по безопасному программированию

Шаг 3: Определите наиболее затронутые репозитории

В таблице отсканированных репозиториев вы можете увидеть каждое отсканированное хранилище вместе с соотношением уязвимостей, на которые можно Автофикс второго пилота рассчитывать, из общего числа найденных уязвимостей.

Метрика «Самый уязвимый репозиторий » в верхней части страницы выделяет репозиторий с наибольшим количеством уязвимостей. Это хорошее начало для распределения приоритетов на устранении.

Если высокий процент репозиториев содержит уязвимости, это может указывать:

  • Широкие пробелы в защищённых практиках кодирования между командами
  • Потребность в инструментах и ограничителях, доступных для всей организации, таких как code scanning

Если уязвимости содержат только несколько репозиториев, вы можете сосредоточить усилия по устранению на конкретных командах или кодовых базах.

Шаг 4: Обнаружены правила просмотра

Прокрутите таблицу «Обнаруженные правила », чтобы увидеть разбивку уязвимостей по правилам, включая:

  • Правило: Конкретный класс выявленных проблем с безопасностью
  • Степень тяжести правила: уровень тяжести (критический, высокий, средний или низкий)
  • Отдельные репозитории: сколько разных репозиториев содержат это нарушение правил
  • Обнаруженные уязвимости: общее количество нарушений этого правила во всех репозиториях

Таблица сортируется по количеству уязвимостей по умолчанию, помогая выявлять наиболее распространённые проблемы. Особое внимание уделяйте правилам с критической или высокой степенью тяжести, которые встречаются в нескольких репозиториях, так как они представляют собой наибольший риск.

Шаг 5: Расставьте приоритеты в устранении

Теперь, когда вы понимаете метрики, определите приоритеты исправления в зависимости от риска.

Самые приоритетные уязвимости — это критические и серьёзные правила, которые встречаются в нескольких репозиториях, потому что они:

  • Представляют наибольшее потенциальное воздействие при эксплуатации
  • Присутствуют в коде, над которым ваши команды активно работают

Далее устраняйте уязвимости, которые представляют меньший риск или требуют дополнительных усилий для устранения:

  • Проблемы средней и низкой степени тяжести, которые всё равно могут представлять риск, но менее критичны в непосредственной степени
  • Правила, появляющиеся только в одном репозитории, что означает более ограниченное воздействие

Также обращайте внимание на следующие показатели, которые могут потребовать более широкого вмешательства за пределы индивидуальных решений:

  • Многие репозитории, подверженные одному и тому же правилу: предполагает системный паттерн, который может требовать командного обучения или обновления стандартов кодирования
  • Высокий уровень уязвимостей в конкретном языке: может указывать на проблемы на уровне фреймворка или отсутствие инструментов для сканирования этого языка

Дальнейшие действия

Чтобы начать устранять уязвимости с Автофикс второго пилота, подключитесь GitHub Code Security к вашей организации. У вас есть два варианта:

  • Чтобы включить GitHub Code Security отдельный репозиторий, нажмите Включить рядом с репозиторием в таблице «Repositories scaned».
  • Чтобы включить GitHub Code Security в вашей организации, нажмите «Включить Code Security » в верхней части страницы. Здесь вы можете выбрать, включать ли его для всех репозиториев или выбранных репозиториев, а затем проверить оценочную стоимость перед подтверждением.