Beheben von Warnungen in einer Sicherheitskampagne

Lerne, wie du Alarme in einer Sicherheitskampagne findest und behebst.

Wer kann dieses Feature verwenden?

Benutzer*innen mit Schreibzugriff

Organizations on GitHub Team with GitHub Secret Protection or GitHub Code Security enabled

In diesem Artikel

Anzeigen von Warnungen in einer Sicherheitskampagne

Wenn eine Kampagne auf Sicherheitswarnungen in einem Repository abzielt, auf das du Schreibzugriff hast, kannst du in der Kampagne zur Liste der Repositorybenachrichtigungen navigieren.

  • Zeige die Registerkarte Security für das Repository an, und klicke in der Randleiste unter dem Titel „Campaigns“ auf eine der Kampagnen.
  • Wenn du Schreibzugriff auf mehrere Repositories in der Organisation hast, zeige die Registerkarte Security für die Organisation an und klicke in der Seitenleiste unter „Kampagnen“ auf eine der Kampagnen.
  • Klicke alternativ in der E-Mail-Benachrichtigung der Kampagne auf View security campaign.

In diese Ansicht werden die Warnungen im aktuellen Repository für eine Kampagne namens „SQL injection (CWE-89)“ (grau hervorgehoben) angezeigt, die von „octocat“ (dunkelorange umrandet) verwaltet wird.

Screenshot der Repository-Kampagnenansicht mit der angezeigten Kampagne „SQL-Injection (CWE-89)“ und dem dunkelorange umrandeten „Kampagnenmanager“.

Beheben von Warnungen in einer Sicherheitskampagne

Wenn du den Code anzeigen möchtest, der die Sicherheitswarnung ausgelöst hat, und den vorgeschlagenen Fix, klicke auf den Namen der Warnung, um die Warnungsansicht anzuzeigen.

  1. Wenn du bereit bist, an mindestens einer Sicherheitswarnung zu arbeiten, stelle sicher, dass noch niemand an diesen Warnungen arbeitet. In der Kampagnenansicht werden Git-Symbole auf Warnungen angezeigt, bei denen ein Fix möglicherweise bereits ausgeführt wird. Klicke auf ein Symbol, um die verknüpfte Arbeit anzuzeigen:

    • : Der Entwurf eines offenen Pull Requests kann diese Warnung möglicherweise beheben.
    • : Ein offener Pull Request kann diese Warnung möglicherweise beheben.
    • : Ein Branch enthält möglicherweise Änderungen, die diese Warnung beheben.

  2. Wähle in der Kampagnenansicht für das Repository die Warnungen aus, die du korrigieren möchtest.

  3. Verbinden Sie die Sicherheitswarnungen mit einem funktionierenden Branch:

    • Wenn mindestens ein „Autofix“-Vorschlag für die ausgewählten Warnungen verfügbar ist, klicken Sie auf Autofix committen und committen Sie die Änderungen entweder in einen neuen Branch oder in einen bestehenden Branch.
    • Wenn für die ausgewählten Warnungen keine Autofix-Vorschläge verfügbar sind, klicken Sie auf Neuen Branch erstellen, um einen neuen Branch zu erstellen, in dem Sie an der Korrektur der Warnungen arbeiten werden.

  4. Wenn du die Behebung der Warnungen und das Testen deiner Lösungen abgeschlossen hast, erstelle einen Pull Request für deine Änderungen, und fordere vom Kampagnen-Manager einen Review an.

Tipp

Wenn du über Schreibberechtigungen für mehrere Repositorys in der Kampagne verfügst, klicke im Repository auf den Link im Feld „Campaign progress“, um die Ansicht der Kampagne auf Organisationsebene anzuzeigen. Wenn du ein Repository aus dieser Ansicht öffnest, wird die Kampagnenwarnungsansicht angezeigt.

Zuweisen von Warnungen zu Copilot Codierungsassistent

Hinweis

Diese Option befindet sich derzeit in der öffentlichen Vorschau und kann geändert werden. Copilot Codierungsassistent müssen im Repository vorhanden sein.

Wenn ein Autofix generiert wurde, können Sie eine oder mehrere Warnungen der Copilot zuweisen. Copilot erstellt dann Pull-Requests, wendet die Autofixes an und fügt Sie als angeforderten Prüfer hinzu.

Durch das Zuweisen mehrerer Warnungen wendet Copilot Codierungsassistent die Fixes an und durchläuft den Code, um die Änderungen zu validieren, auf neue Sicherheitsprobleme zu überprüfen und sicherzustellen, dass keine Mergekonflikte bestehen.

  1. Wählen Sie in der Kampagnenansicht für das Repository die Warnungen aus, die Sie zuweisen möchten.
  2. Klicken Sie oberhalb der Liste der Warnhinweise auf Zuweisen an Copilot.

Innerhalb von 30 Sekunden wird Copilot eine Pull-Request öffnen, um die Sicherheitsschwachstellen zu beheben, die Copilot und Ihnen zugewiesen wurden. Die Pullanforderung enthält eine Zusammenfassung der Korrekturen und Details der vorgenommenen Änderungen. Nach der Erstellung wird die Pullanforderung neben der Warnung angezeigt.

Verwenden von GitHub Copilot Gespräch für sicheres Programmieren

Wenn du Zugriff auf Copilot-Chat hast, kannst du der KI Fragen zum Sicherheitsrisiko, dem vorgeschlagenen Fix und dem umfassenden Testen des Fixes stellen.

Tipp

Die Fähigkeit von Copilot, Fragen in natürlicher Sprache wie diese im Kontext eines Repository zu beantworten, wird optimiert, wenn der Index der semantischen Codesuche für das Repository auf dem neuesten Stand ist. Weitere Informationen finden Sie unter Indizieren von Repositories für GitHub Copilot.