Assessing the security risk of your code

You can use security overview to see which teams and repositories are affected by security alerts, and identify repositories for urgent remedial action.

¿Quién puede utilizar esta característica?

El acceso requiere:

  • Vistas de la organización: acceso de escritura a repositorios de la organización
  • Vistas de la empresa: propietarios de la organización y administradores de seguridad

En este artículo

Exploring the security risks in your code

You can use the different views on your Security tab to explore the security risks in your code.

  • Overview: use to explore trends in Detection, Remediation, and Prevention of security alerts.
  • Risk: use to explore the current state of repositories, across all alert types.
  • Assessments: use to explore the current state of repositories, for secret leaks specifically
  • Alerts views: use to explore code scanning, Dependabot, or secret scanning alerts in greater detail.

These views provide you with the data and filters to:

  • Assess the landscape of security risk of code stored in all your repositories.
  • Identify the highest impact vulnerabilities to address.
  • Monitor your progress in remediating potential vulnerabilities.
  • Understand how your organization is affected by secret leaks and exposures.
  • Export your current selection of data for further analysis and reporting.

For information about the Overview, see Viewing security insights.

Viewing organization-level security risks in code

  1. En GitHub, navega a la página principal de tu organización.

  2. Debajo del nombre de la organización, haz clic en Security.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. Para mostrar la vista "Security risk", en la barra lateral, haz clic en Risk.

  4. Use las opciones del resumen de la página para filtrar los resultados y mostrar los repositorios que desea evaluar. La lista de repositorios y métricas que se muestran en la página se actualizan automáticamente para que coincidan con la selección actual. Para obtener más información sobre los filtros, consulta Filtrar alertas en la información general sobre seguridad.

    • Use el menú desplegable Teams para mostrar información solo para los repositorios que pertenecen a uno o varios equipos.
    • Haga clic en NUMBER afectado o NUMBER no afectado en el encabezado de cualquier característica para mostrar solo los repositorios con o sin alertas abiertas de ese tipo.
    • Haga clic en cualquiera de las descripciones de "Abrir alertas" en el encabezado para mostrar solo repositorios con alertas de ese tipo y categoría. Por ejemplo, 1 crítica para mostrar el repositorio con una alerta crítica para Dependabot.
    • En la parte superior de la lista de repositorios, haga clic en NUMBER archivado para mostrar solo los repositorios archivados.
    • Haga clic en el cuadro de búsqueda para agregar más filtros a los repositorios que se muestran.

    Screenshot of the "Security risk" view for an organization. The options for filtering are outlined in dark orange.

    Nota:

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. Opcionalmente, use la barra lateral de la izquierda para explorar las alertas de una característica de seguridad específica con mayor detalle. En cada página, puede utilizar filtros que sean específicos para dicha característica para refinar la búsqueda. Para obtener más información sobre los calificadores disponibles, consulta Filtrar alertas en la información general sobre seguridad.

  6. Optionally, use the Export CSV button to download a CSV file of the data currently displayed on the page for security research and in-depth data analysis. For more information, see Exporting data from security overview.

Nota:

Las vistas de resumen ("Información general", "Cobertura" y "Riesgo") solo muestran datos para alertas predeterminadas. Alertas de Secret scanning para directorios omitidos y alertas que no son de proveedor se omiten de estas vistas. Por lo tanto, las vistas de alerta individuales pueden incluir un mayor número de alertas abiertas y cerradas.

Viewing enterprise-level security risks in code

You can view data for security alerts across organizations in an enterprise.

Sugerencia

Puedes usar el filtro owner en el campo de búsqueda para filtrar los datos por organización. Si es propietario de un empresa con usuarios administrados, puede usar el filtro owner-type para filtrar los datos por el tipo de propietario del repositorio, de modo que pueda ver datos de repositorios propiedad de la organización o repositorios propiedad del usuario. Para obtener más información, consulta Filtrar alertas en la información general sobre seguridad.

  1. Vaya a GitHub Enterprise Cloud.

  2. En la esquina superior derecha de GitHub, haz clic en la fotografía de perfil.

  3. En función de su entorno, haga clic en Enterprise o en Empresas y, a continuación, haga clic en la empresa que desea ver.

  4. En la parte superior de la página, haz clic en Security.

  5. To display the "Security risk" view, in the sidebar, click Risk.

  6. Use las opciones del resumen de la página para filtrar los resultados y mostrar los repositorios que desea evaluar. La lista de repositorios y métricas que se muestran en la página se actualizan automáticamente para que coincidan con la selección actual. Para obtener más información sobre los filtros, consulta Filtrar alertas en la información general sobre seguridad.

    • Use el menú desplegable Teams para mostrar información solo para los repositorios que pertenecen a uno o varios equipos.
    • Haga clic en NUMBER afectado o NUMBER no afectado en el encabezado de cualquier característica para mostrar solo los repositorios con o sin alertas abiertas de ese tipo.
    • Haga clic en cualquiera de las descripciones de "Abrir alertas" en el encabezado para mostrar solo repositorios con alertas de ese tipo y categoría. Por ejemplo, 1 crítica para mostrar el repositorio con una alerta crítica para Dependabot.
    • En la parte superior de la lista de repositorios, haga clic en NUMBER archivado para mostrar solo los repositorios archivados.
    • Haga clic en el cuadro de búsqueda para agregar más filtros a los repositorios que se muestran.

    Screenshot of the "Security risk" view for an enterprise. The options for filtering are outlined in dark orange.

    Nota:

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  7. Opcionalmente, use la barra lateral de la izquierda para explorar las alertas de una característica de seguridad específica con mayor detalle. En cada página, puede utilizar filtros que sean específicos para dicha característica para refinar la búsqueda. Para obtener más información sobre los calificadores disponibles, consulta Filtrar alertas en la información general sobre seguridad.

  8. Optionally, use the Export CSV button to download a CSV file of the data currently displayed on the page for security research and in-depth data analysis. For more information, see Exporting data from security overview.

Nota:

Las vistas de resumen ("Información general", "Cobertura" y "Riesgo") solo muestran datos para alertas predeterminadas. Alertas de Secret scanning para directorios omitidos y alertas que no son de proveedor se omiten de estas vistas. Por lo tanto, las vistas de alerta individuales pueden incluir un mayor número de alertas abiertas y cerradas.

Next steps

When you have assessed your security risks, you are ready to create a security campaign to collaborate with developers to remediate alerts. For information about fixing security alerts at scale, see Creación y administración de campañas de seguridad and Procedimientos recomendados para resolver alertas de seguridad a gran escala.