Introducción a la seguridad

Información general sobre seguridad proporciona un único panel de administración para ver un resumen del riesgo de seguridad de la organización y el estado de habilitación de Advanced Security. Todas las organizaciones, independientemente de si tienen un repositorio habilitado para Advanced Security, pueden ver la pestaña de información general de seguridad en su configuración de la organización.

GitHub Advanced Security para Azure DevOps funciona con Azure Repos. Para utilizar GitHub Advanced Security con repositorios de GitHub, consulte GitHub Advanced Security.

Información general sobre seguridad

Todos los miembros de la organización que tienen acceso para ver la configuración de la organización pueden ver la información general de seguridad. La información general de seguridad incluye tres pestañas:

  • Riesgo : muestra la distribución de alertas totales y de alertas por gravedad en todos los proyectos y repositorios con Advanced Security habilitado.
  • Cobertura : muestra el estado de habilitación de las características de Advanced Security en todos los repositorios de la organización.
  • Alertas : muestra alertas individuales en todos los repositorios de la organización, con funcionalidades de filtrado y búsqueda.

Pestaña de riesgo

Para acceder a la información general de seguridad de su organización, vaya a Información general de seguridad de la configuración > de la organización. La vista predeterminada es la pestaña Riesgo , que muestra un resumen de las alertas de seguridad en toda la organización.

En la vista Riesgo, solo aparecen repositorios con Advanced Security habilitado. Los recuentos de alertas notificados solo son para las alertas detectadas en la rama predeterminada para cada repositorio. Los repositorios deshabilitados y eliminados se excluyen automáticamente de los resultados.

Puede ordenar por cada uno de los encabezados de columna de la tabla (Open, New, Dismissed, Fixed) y modificar la consulta mediante la barra de búsqueda de palabras clave o filtros desplegables para el proyecto, la herramienta y el límite de tiempo. El límite de tiempo mostrará de forma predeterminada los resultados de los últimos siete días. Los filtros aplicados también se insertarán como parámetro de dirección URL para facilitar la compartibilidad de la consulta.

Puede exportar los resultados de la pestaña Riesgo a un archivo CSV para el análisis o los informes sin conexión.

Captura de pantalla de la pestaña Riesgo en la información general sobre seguridad.

Cobertura

En la pestaña Cobertura , la información general de seguridad muestra todos los repositorios de la empresa, independientemente de su estado de habilitación. Los resultados excluyen automáticamente los repositorios deshabilitados y eliminados. En el caso de los repositorios que tengan habilitada la seguridad avanzada, la información general incluye un desglose de cada herramienta:

Captura de pantalla de la pestaña Cobertura en la información general sobre seguridad.

Las alertas de análisis de dependencias, análisis de código y análisis de secretos se habilitan una vez que un archivo de resultados SARIF se envía correctamente a Advanced Security. En otras palabras, un examen correcto independientemente de la detección de alertas en cualquier rama de un repositorio ilumina la cobertura de esa herramienta y repositorio en particular. El estado de habilitación no tiene en cuenta la recencia del examen. Puede haber hasta un retraso de 24 horas para los eventos de activación recientes después de seleccionar Enable all a nivel de organización o proyecto.

Al mantener el puntero sobre un repositorio específico y seleccionar el icono de engranaje, se le dirige al panel de configuración de ese repositorio, donde puede habilitar Advanced Security. Para obtener más información sobre cómo configurar las características de Advanced Security, consulte Configuración de Seguridad avanzada de GitHub.

Puede exportar los resultados de la pestaña Cobertura a un archivo CSV.

Ficha Alertas

La pestaña Alertas proporciona una vista combinada de alertas de seguridad individuales en todos los repositorios de la organización. En lugar de navegar a cada repositorio individualmente, puede buscar, filtrar y priorizar alertas desde un panel centralizado.

La pestaña Alertas admite el filtrado por:

  • Herramienta : filtre por origen de alerta, como el análisis de código, el examen de dependencias o el análisis de secretos.
  • Gravedad : filtre por nivel de gravedad de alerta, como crítico, alto, medio o bajo.
  • Estado : filtre por estado de alerta, como abierto, descartado o fijo.
  • Project: filtre por Azure DevOps project.
  • Repositorio : filtre por repositorio específico.
  • Límite de tiempo : filtra las alertas cuando se introdujeron.

Al seleccionar una herramienta específica, verá filtros específicos. En el caso de los secretos, estos filtros incluyen validez y tipo de secreto. En el caso de las dependencias, estos filtros incluyen el paquete y el ecosistema. En el caso del código, estos filtros incluyen herramientas y reglas.

Captura de pantalla de la página Habilitar alertas en la pestaña Información general de seguridad.

Export

Puede exportar hasta las primeras 1000 alertas desde la pestaña Alertas a un archivo CSV para realizar análisis, informes o integración sin conexión con otras herramientas. La exportación respeta los filtros aplicados actualmente.

Campañas de seguridad

Las campañas de seguridad permiten crear y compartir vistas filtradas de alertas para coordinar los esfuerzos de corrección entre los equipos. Use filtros para centrarse en tipos de vulnerabilidades específicos, niveles de gravedad o repositorios y, a continuación, comparta la vista de campaña con el equipo mediante la dirección URL.

La página aplica filtros como parámetros de dirección URL. Puede compartir fácilmente una vista filtrada específica con el equipo copiando la dirección URL.

Captura de pantalla de una vista de alertas filtrada que se usa para crear una campaña de seguridad en la pestaña información general de seguridad.

Las campañas son útiles para:

  • Corrección basada en sprint : cree una campaña para todas las alertas críticas de un proyecto específico para realizar un seguimiento del progreso de la corrección durante un sprint.
  • Triaje específico de la herramienta — filtre por una herramienta de escaneo específica para revisar y realizar el triaje de todas las alertas de esa fuente.
  • Coordinación entre repositorios — comparte una vista filtrada con ingenieros de varios repositorios para reducir un tipo específico de vulnerabilidad.
  • Last updated on