Avaliação de risco de segurança de código

Gere uma avaliação de risco de segurança de código livre para entender a exposição da sua organização a vulnerabilidades.

Quem pode usar esse recurso?

Proprietários e gerentes de segurança da organização

Gratuito para organizações em GitHub Team e GitHub Enterprise
Get started with security risk assessments

Neste artigo

          code security risk assessment é uma verificação gratuita e de autoatendimento que ajuda você a entender a exposição a vulnerabilidades de código da sua organização. A avaliação examina até 20 repositórios da sua organização e produz um relatório mostrando as vulnerabilidades encontradas, sua gravidade e quantos podem ser corrigidos com Copilot Autofix.

A avaliação é completamente gratuita. Você não será cobrado por nenhuma GitHub Code Security licença, e os GitHub Actions minutos usados durante a verificação serão fornecidos sem custo.

Quem pode executar a avaliação

          **Os proprietários da organização** e **os gerentes de segurança** podem executar o code security risk assessment para organizações nos planos GitHub Team ou GitHub Enterprise Cloud.

O que a avaliação verifica

Por padrão, a avaliação pré-seleciona até 20 repositórios internos e privados da sua organização com base na atividade de commits nos últimos 90 dias. Você pode alterar essa seleção antes de executar a verificação. Somente repositórios que contêm pelo menos um idioma compatível com a verificação de código podem ser selecionados.

As verificações têm um tempo limite de uma hora. Se todos os idiomas em um repositório falharem no escaneamento, esse repositório será contado como falha. Se pelo menos um idioma for verificado com êxito, os resultados do repositório serão incluídos no relatório.

Você pode executar novamente a avaliação a cada 90 dias. Para cada nova execução, você pode alterar quais repositórios são verificados.

Relação com o secret risk assessment

          GitHub oferece duas avaliações gratuitas de risco de segurança para organizações: code security risk assessment e secret risk assessment. As duas avaliações são executadas de forma independente e seus resultados são exibidos em guias separadas no modo de exibição Avaliações. Cada avaliação pode ser executada novamente a cada 90 dias.

Para obter mais informações sobre secret risk assessment, confira Sobre segurança secreta com GitHub.

Próximas Etapas 

Para gerar um code security risk assessment para sua organização, consulte Executando a avaliação de risco de segurança de código para sua organização.