Esta guía está pensada para que los administradores y las partes interesadas del programa obtengan el máximo provecho de su instalación de Trust Agent.
Filtros
Empezando por el pliegue superior, y antes de examinar las métricas, es importante tener en cuenta los filtros disponibles en (¡a menudo pasados por alto!). Son muy útiles para profundizar e investigar commits por repositorio, equipos o etiquetas. Algunos ejemplos de escenarios que puedes querer investigar son:
- Con un repositorio con una alta tasa de commits de baja confianza, puedes averiguar qué idiomas, colaboradores, equipos, etc. necesitan formación específica por idioma
- Puedes filtrar ciertos equipos (por ejemplo, "equipos offboarded") para hacer que los datos sean más relevantes para los desarrolladores activos
Puedes combinar filtros para acotar tu análisis. Cabe destacar el filtro Tiempo:, que por defecto es de 3 meses, pero puede ampliarse a 12 meses. Sólo los commits, repos, idiomas, contribuidores, equipos y etiquetas con actividad de commit dentro del período de tiempo especificado se mostrarán en el panel. Por ejemplo, esto significa que un repositorio no se mostrará en la lista si no tiene un commit dentro de la ventana de tiempo especificada, incluso si tenemos datos para él que son más antiguos.
Resumen de commits
Porcentaje de commits de alta confianza
Esta métrica muestra un único porcentaje que representa la proporción de todos los commits de código dentro del período de tiempo seleccionado que se consideran de "alta confianza"."Un commit de "alta confianza" se adhiere a la configuración de la política del Agente de confianza configurable de su organización, que se basa en el nivel de habilidad de los desarrolladores (puntuación de confianza individual, incluida una comprobación de actividad específica del idioma con respecto a los idiomas detectados en el commit) y la finalización del contenido de formación obligatorio (Cursos, Evaluaciones y Cuestiones). Puedes ver los cambios a lo largo del tiempo cambiando el selector de tiempo.
Un porcentaje más bajo puede indicar que se está introduciendo un riesgo inmediato en su base de código debido a lagunas en las habilidades actuales.
Medidas que pueden tomar los administradores:
Perfeccione las políticas: Revise los ajustes de "Configuración de políticas" de su Agente de confianza. Si el porcentaje es muy alto, considere hacer las políticas más estrictas para reflejar realmente "alta confianza", pero también puede ser el caso de que el despliegue de su programa haya sido muy eficaz, en cuyo caso ¡dese una palmadita en la espalda! Si es muy bajo, evalúe si la política actual es demasiado estricta o si existen carencias de habilidades más amplias e inmediatas en el equipo.
Contributors Making Commits
Esta métrica muestra un recuento total de desarrolladores (no únicos) que han sido autores de al menos una confirmación de código dentro del periodo de tiempo seleccionado. Es una indicación del tamaño de su base de desarrolladores activos que contribuyen con código. Un número más bajo de lo esperado podría indicar lagunas en la cobertura del repositorio, y un número más alto de lo esperado podría ayudar a descubrir a personas previamente desconocidas escribiendo código y presentar una oportunidad para una adopción más completa a través de su base de desarrolladores.
Lenguajes con commits
Esta métrica muestra un único número que representa el recuento total de lenguajes de programación y marcos de trabajo únicos encontrados en todos los commits de código dentro del periodo de tiempo seleccionado. Ofrece una visión de alto nivel sobre la amplitud de las tecnologías presentes en su base de código, con un número más alto que indica una pila de tecnología más diversa. Los cambios a lo largo del tiempo podrían indicar que los esfuerzos por replanificar o refactorizar el código están progresando (o no). Compare este recuento con su contenido de aprendizaje disponible y asignado para asegurarse de que su programa ofrece rutas de aprendizaje relevantes para todos los lenguajes y marcos activos, identificando cualquier laguna en su cobertura.
Repositorios con commits
Esta métrica muestra un único número que representa el recuento total de repositorios de código únicos que han recibido al menos un commit dentro del periodo de tiempo seleccionado. Obtenga una comprensión rápida de cuántas bases de código distintas están actualmente en desarrollo activo, lo que ayuda a contextualizar los esfuerzos generales de seguridad. Los administradores y las partes interesadas pueden comparar este número con los repositorios cubiertos por sus escáneres de seguridad u otras herramientas para garantizar una cobertura completa. Un mayor número de repositorios activos podría indicar la necesidad de ampliar los recursos de seguridad o priorizar qué repositorios reciben la mayor atención para un análisis de seguridad en profundidad.
Actividad de confirmaciones
Esta métrica muestra un gráfico de series temporales que ilustra su actividad de confirmaciones en cuatro categorías: Confirmaciones sin código, confirmaciones de baja confianza, confirmaciones de confianza moderada y confirmaciones de alta confianza. Puede ver estos datos como un porcentaje o como el número real de confirmaciones, proporcionando una visión dinámica de cómo evolucionan los niveles de confianza a lo largo del tiempo.
Confirmaciones sin código ( Gris ): Mientras que un pequeño porcentaje (alrededor del 10%) de confirmaciones que no son de código es típico, un porcentaje consistentemente más alto tampoco es inusual y puede haber varias razones válidas para esto, incluyendo:
- Grandes cantidades de documentación que se actualiza automáticamente
- Confirmaciones automatizadas a archivos de datos (por ejemplo, YAML) por bots
- Grandes cantidades de archivos de datos de prueba (por ejemplo. JSON) actualizados por desarrolladores
- Actualizaciones automatizadas de dependencias
- Archivos de lenguajes o frameworks que Trust Agent aún no soporta (Trust Agent actualmente sólo soporta la detección de lenguajes y frameworks con contenido en la plataforma SCW)
Normalmente merece la pena una breve investigación cuando hay una alta proporción de commits que no son de código, ya que los archivos que no son de código pueden introducir vulnerabilidades (por ejemplo, problemas con criptografía, errores de configuración de seguridad, etc.). Para ello, basta con pedir al equipo de ingenieros que compruebe algunos de los commits que no son de código. En la mayoría de los casos que hemos visto hasta ahora, un gran número de commits que no son de código se han atribuido a las razones anteriores y no deberían ser motivo de preocupación, sin embargo, si hay lenguajes o frameworks que no se están detectando correctamente, por favor, háznoslo saber y trabajaremos contigo para actualizar las reglas de detección. Si está satisfecho con el resultado de la investigación, los commits que no son de código pueden filtrarse fácilmente activando la opción "Ocultar commits que no son de código" en la barra de filtros.
Low Trust Commits ( Red ): Una alta proporción de commits de baja confianza significa un área crítica de mejora. Esto suele indicar que los desarrolladores no están utilizando una licencia de Secure Code Warrior (SCW), no han recibido formación o no han completado el nivel necesario de formación obligatoria. Investiga estos casos para asegurarte de que todos los desarrolladores relevantes están en la plataforma y progresando a través de sus rutas de aprendizaje asignadas.
Compromisos de confianza moderada ( Amarillo ): Las confirmaciones de confianza moderada suelen significar que los desarrolladores han completado parte de la formación esperada, pero su formación puede no coincidir con el lenguaje del código que están confirmando. Por ejemplo, un desarrollador puede confirmar código Python pero sólo se ha formado en Java. Recomendamos centrarse primero en los commits de baja confianza para reducir al máximo el riesgo de los desarrolladores antes de abordar los commits de confianza moderada. El que intente eliminar los commits de confianza moderada dependerá en gran medida del apetito de riesgo de su organización. Aunque son menos críticos que los de confianza baja, los commits de confianza moderada indican una oportunidad para afinar las asignaciones de formación y puedes animar a los desarrolladores a participar en la formación relevante para los lenguajes con los que trabajan activamente para acercarlos a los de confianza alta.
High Trust Commits ( Green ): Obviamente, queremos ver un alto número de commits de alta confianza. Los commits de alta confianza indican que los desarrolladores están completando constantemente la formación necesaria para los lenguajes que están utilizando. De forma similar a lo mencionado anteriormente en la sección "Porcentaje de confirmaciones de alta confianza", si el porcentaje es muy alto, considera la posibilidad de hacer políticas más estrictas para reflejar realmente la "alta confianza" Si es muy bajo, evalúa si la política actual es demasiado estricta o si existen carencias de habilidades más amplias e inmediatas en todo el equipo. Éstas se controlan mediante los ajustes "Requerir nivel de habilidad" y "Asignar contenido de formación obligatorio" en la configuración de políticas de Trust Agent.
Repositorios
Esta sección muestra las métricas de Trust Agent por repositorio. Puede que no estés familiarizado con todos los repositorios, pero un responsable de ingeniería o seguridad puede identificar normalmente los repositorios críticos de la organización. Un alto porcentaje de commits de baja confianza en un repositorio importante con vulnerabilidades conocidas (por los escáneres) muestra claramente la necesidad de un retrabajo significativo y de formación de los desarrolladores, y estos datos ayudan a construir un caso de negocio sólido.
Consejos prácticos para administradores:
Priorice los repositorios críticos: Céntrese en los repositorios clave, especialmente en aquellos con altos niveles de commits de confianza baja/moderada.
Formación específica: Si un repositorio crítico tiene commits de baja confianza y vulnerabilidades conocidas, configure un programa de formación específico para esos desarrolladores.
Justificar recursos: Utilice estos datos (baja confianza en repos críticos + vulnerabilidades identificadas por el escáner) para justificar las necesidades de formación o recursos.
Idiomas
Esta sección proporciona métricas de Trust Agent por lenguaje de programación. A menudo resulta útil ordenar esta vista por las columnas "Commit Activity" o "Total Commits" para ver qué lenguajes se utilizan de forma más activa.
Consejos prácticos para administradores:
Evalúe las brechas de cobertura: Compare los idiomas con commits activos con el contenido de formación disponible de Secure Code Warrior. Asegúrese de que los lenguajes adecuados están disponibles en sus programas de aprendizaje para alinearse con la pila tecnológica de su organización y empuje a sus desarrolladores a tomarlos.
Investigue los lenguajes de baja confianza: En el caso de los idiomas con tendencias constantes de commit de confianza baja y media, asegúrese de que estos idiomas estén disponibles en cualquier contenido de aprendizaje que se haya especificado en la política. Filtrar por estos idiomas con los filtros de nivel superior puede ayudar a determinar los repositorios afectados, así como los colaboradores o equipos que realizan estas confirmaciones para su seguimiento.
Colaboradores
Esta sección muestra las métricas del Agente de confianza por desarrolladores individuales. Ordene por "Actividad de confirmación" para dar prioridad a los contribuidores clave. Esta vista le ayuda a comprender los niveles de confianza individuales.
Consejos prácticos para administradores:
Priorice a los confirmadores de gran volumen: Céntrese en los desarrolladores con más commits, ya que sus niveles de confianza tienen el mayor impacto.
Identifique a los usuarios sin formación: Utiliza "Invitar a usuarios que no sean de SCW" para encontrar desarrolladores que realicen commits de código pero que no estén en la plataforma. Consigue que se incorporen para aumentar la confianza general.
Limpia los datos de los usuarios: Con "Acciones masivas > Fusionar colaboradores" en el selector desplegable, los administradores pueden fusionar varios colaboradores en una sola cuenta. Fusione correos electrónicos o alias no corporativos (por ejemplo, los usuarios pueden utilizar direcciones de correo electrónico personales, tener diferentes alias de correo electrónico como resultado de M&A recientes, asociaciones con diferentes unidades de negocio o empresa matriz, etc.) para mejorar la precisión de los datos y vincular la formación a los usuarios correctos.
Esta es una parte importante de la incorporación inicial de Trust Agent para muchos clientes, ya que cuando las direcciones de correo electrónico no coinciden entre git y la plataforma SCW, Trust Agent no puede determinar el cumplimiento de la política de formación del colaborador. Consulte este artículo para obtener información más detallada sobre cómo combinar o asignar correos electrónicos de colaboradores.
Equipos
Esta sección proporciona métricas de Trust Agent basadas en desarrolladores asignados a equipos en la plataforma SCW. Tenga en cuenta que esto sólo incluirá los datos de los colaboradores que fueron asignados con éxito a un alumno SCW, y por lo tanto la información del equipo está disponible.
Medidas a tomar por los administradores:
Investigar los equipos de baja confianza: En el caso de los equipos con tendencias constantes de commit de confianza baja y media, asegúrese de que los idiomas adecuados estén disponibles para la formación y anime a los desarrolladores a completar la formación necesaria. Filtrar por estos equipos puede ayudar a determinar los repositorios afectados, así como los miembros individuales del equipo que realizan estas confirmaciones para que se les pueda hacer un seguimiento.
Etiquetas
Esta sección muestra las métricas del Agente de confianza basadas en cualquier agrupación o colección personalizada de usuarios que haya definido mediante etiquetas dentro de la plataforma SCW. Tenga en cuenta que esto sólo incluirá los datos de los colaboradores que fueron asignados con éxito a un alumno SCW, y por lo tanto la información de la etiqueta está disponible. De forma similar a "Equipos", esta vista le permite evaluar la postura de seguridad de conjuntos específicos de colaboradores. Utilice las etiquetas para analizar los niveles de confianza de agrupaciones de proyectos, iniciativas o esfuerzos interfuncionales únicos que no están representados por las estructuras de equipo estándar.
Consejos prácticos para administradores:
Identifique las necesidades de formación específicas: Si una etiqueta específica muestra un alto porcentaje de commits de confianza baja o moderada, podría indicar la necesidad de configurar programas de formación a medida para los colaboradores asociados a esa etiqueta.
Apoyar la aplicación de políticas: Las etiquetas pueden ayudar a aplicar y supervisar las políticas de seguridad para tipos específicos de código o proyectos, garantizando que la formación pertinente se aplica y se cumple dentro de esos grupos etiquetados.
Comentarios
0 comentarios
El artículo está cerrado para comentarios.