Visualizar métricas para alertas de pull request

Você pode usar a visão geral de segurança para ver como está o desempenho do CodeQL em pull requests para os repositórios em suas organizações e para identificar repositórios em que pode ser necessário tomar medidas.

Quem pode usar esse recurso?

O acesso requer:

  • Exibições da organização: acesso para gravação a repositórios na organização
  • Exibições corporativas: proprietários da organização e gerentes de segurança

Organizações pertencentes a uma conta do GitHub Team com o GitHub Code Security, ou pertencentes a uma conta do GitHub Enterprise com GitHub Code Security

Neste artigo

Sobre as métricas de alertas de pull request do CodeQL

A visão geral de métricas para alertas de pull request do CodeQL ajuda você a entender a eficácia da prevenção de vulnerabilidades pelo CodeQL em suas organizações. Você pode usar as métricas para avaliar o desempenho de CodeQL em pull requests e para identificar facilmente os repositórios nos quais talvez seja necessário tomar medidas para identificar e reduzir os riscos de segurança.

A visão geral mostra um resumo de quantas vulnerabilidades evitadas pelo CodeQL foram capturadas em pull requests. As métricas são monitoradas somente em pull requests que foram mescladas nos branches padrão dos repositórios das organizações.

Você também pode encontrar métricas mais granulares, como quantos alertas foram corrigidos com e sem sugestões do Correção automática do Copilot, quantos não foram resolvidos e mesclados e quantos foram descartados como falsos positivos ou como risco aceito.

Você também pode visualizar:

  • As regras que estão causando a maioria dos alertas e a quantos alertas cada regra está associada.

  • O número de alertas que foram mesclados no branch padrão sem resolução e o número de alertas descartados como risco aceitável.

  • O número de alertas corrigidos com uma sugestão aceita do Correção automática do Copilot, exibidos como uma fração de quantas sugestões totais do Correção automática do Copilot foram disponibilizadas.

  • Taxas de correção, em um gráfico que mostra a porcentagem de alertas corrigidos com uma sugestão disponível do Correção automática do Copilot e a porcentagem de alertas corrigidos sem uma sugestão do Correção automática do Copilot.

  • Tempo médio para correção, em um gráfico mostrando a idade média dos alertas fechados que foram corrigidos com uma sugestão disponível do Correção automática do Copilot e a idade média dos alertas fechados que foram corrigidos sem uma sugestão do Correção automática do Copilot.

Você também pode aplicar filtros aos dados. As métricas são baseadas na atividade do período padrão ou do período selecionado.

          [!NOTE] Métricas do Correção automática do Copilot serão mostradas apenas para repositórios em que o Correção automática do Copilot está habilitado.

Visualizar as métricas de alertas da pull request CodeQL para uma organização

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique em Security.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral, em "Metrics", clique em CodeQL pull request alerts.

  4. Opcionalmente, use o seletor de data para definir o intervalo de tempo. O seletor de data mostrará dados com base nas datas de criação dos alertas da pull request.

  5. Você pode também aplicar filtros na caixa de pesquisa na parte superior da página.

  6. Outra alternativa é abrir a caixa de diálogo de filtro avançado:

    • Na parte superior da página, ao lado da caixa de pesquisa, clique em Filter.
    • Clique em Add a filter e selecione um filtro no menu suspenso.
    • Para procurar repositórios que correspondam ao filtro selecionado, preencha os campos disponíveis para esse filtro e clique em Aplicar. Você pode repetir esse processo para adicionar quantos filtros desejar à sua pesquisa.
    • Opcionalmente, para remover um filtro da sua pesquisa, clique em Filter. Na linha do filtro que deseja remover, clique em e clique em Aplicar.

  7. É possível usar o botão Export CSV para baixar um arquivo CSV dos dados exibidos atualmente na página para pesquisa de segurança e análise de dados detalhada. Para saber mais, confira Exportando dados da visão geral de segurança.

Exibindo as métricas de alertas de pull request do CodeQL para sua empresa

Você também pode exibir métricas para alertas do CodeQL em pull requests nas organizações de sua empresa.

Acesse a empresa no dotcom Clique em segurança de código na empresa

  1. Na barra lateral, em "Metrics", clique em CodeQL pull request alerts.

Dica

Use o filtro owner no campo de pesquisa para filtrar os dados por organização. Se você tiver propriedade de um empresa com usuários gerenciados, poderá usar o filtro owner-type para filtrar os dados pelo tipo de proprietário do repositório e poderá exibir dados de repositórios de propriedade da organização ou do usuário. Para obter mais informações, confira Visão geral da filtragem de alertas na segurança.