Beheben von Warnungen in einer Sicherheitskampagne

Erfahre, wie du Warnungen in einer Sicherheitskampagne suchst und behebst.

Wer kann dieses Feature verwenden?

Benutzer*innen mit Schreibzugriff

Organizations on GitHub Team or GitHub Enterprise Cloud with GitHub Secret Protection or GitHub Code Security enabled

In diesem Artikel

Anzeigen von Warnungen in einer Sicherheitskampagne

Wenn eine Kampagne auf Sicherheitswarnungen in einem Repository abzielt, auf das du Schreibzugriff hast, kannst du in der Kampagne zur Liste der Repositorybenachrichtigungen navigieren.

  • Zeige die Registerkarte Security für das Repository an, und klicke in der Randleiste unter dem Titel „Campaigns“ auf eine der Kampagnen.
  • Wenn du Schreibzugriff auf mehrere Repositorys in der Organisation hast, zeige die Registerkarte Security für die Organisation an, und klicke in der Randleiste unter dem Titel „Campaigns“ auf eine der Kampagnen auf eine der Kampagnen.
  • Klicke alternativ in der E-Mail-Benachrichtigung der Kampagne auf View security campaign.

In diese Ansicht werden die Warnungen im aktuellen Repository für eine Kampagne namens „SQL injection (CWE-89)“ (grau hervorgehoben) angezeigt, die von „octocat“ (dunkelorange umrandet) verwaltet wird.

Screenshot der Ansicht der Repositorykampagne mit der angezeigten Kampagne „SQL injection (CWE-89)“ und „Campaign manager“ dunkelorange umrandet

Beheben von Warnungen in einer Sicherheitskampagne

Wenn du den Code anzeigen möchtest, der die Sicherheitswarnung ausgelöst hat, und den vorgeschlagenen Fix, klicke auf den Namen der Warnung, um die Warnungsansicht anzuzeigen.

  1. Wenn du bereit bist, an mindestens einer Sicherheitswarnung zu arbeiten, stelle sicher, dass noch niemand an diesen Warnungen arbeitet. In der Kampagnenansicht werden Git-Symbole auf Warnungen angezeigt, bei denen ein Fix möglicherweise bereits ausgeführt wird. Klicke auf ein Symbol, um die verknüpfte Arbeit anzuzeigen:

    • : Der Entwurf eines offenen Pull Requests kann diese Warnung möglicherweise beheben.
    • : Ein offener Pull Request kann diese Warnung möglicherweise beheben.
    • : Ein Branch enthält möglicherweise Änderungen, die diese Warnung beheben.

  2. Wähle in der Kampagnenansicht für das Repository die Warnungen aus, die du korrigieren möchtest.

  3. Verbinde die Sicherheitswarnungen mit einem funktionierenden Branch:

    • Wenn mindestens ein Vorschlag als „Autofix“ für die ausgewählten Warnungen verfügbar ist, klicke auf Commit autofix, und committe die Änderungen in einem neuen oder vorhandenen Branch.
    • Wenn für die ausgewählten Warnungen keine Vorschläge als „Autofix“ vorhanden sind, klicke auf Create new branch, um einen neuen Branch zu erstellen, in dem du die Warnungen behebst.

  4. Wenn du die Behebung der Warnungen und das Testen deiner Lösungen abgeschlossen hast, erstelle einen Pull Request für deine Änderungen, und fordere vom Kampagnen-Manager einen Review an.

Tipp

Wenn du über Schreibberechtigungen für mehrere Repositorys in der Kampagne verfügst, klicke im Repository auf den Link im Feld „Campaign progress“, um die Ansicht der Kampagne auf Organisationsebene anzuzeigen. Wenn du ein Repository aus dieser Ansicht öffnest, wird die Warnungsansicht der Kampagne angezeigt.

Zuweisen von Warnungen zu Copilot-Programmierassistent

Hinweis

Diese Option befindet sich derzeit in der öffentlichen Vorschau und kann geändert werden. Copilot-Programmierassistent müssen im Repository vorhanden sein.

Wenn ein Autofix generiert wurde, können Sie Copilot eine oder mehrere Benachrichtigungen zuweisen. Copilot erstellt Pullanforderungen, wendet die Autofixe an und fügt Sie als angeforderten Prüfer hinzu.

Durch das Zuweisen mehrerer Benachrichtigungen wendet Copilot-Programmierassistent die Korrekturen an und durchläuft den Code, um die Änderungen zu validieren, auf neue Sicherheitsprobleme zu überprüfen und sicherzustellen, dass keine Zusammenführungskonflikte bestehen.

  1. Wählen Sie in der Kampagnenansicht für das Repository die Warnungen aus, die Sie zuweisen möchten.
  2. Klicken Sie oberhalb der Liste der Warnungen auf Copilot zuweisen.

Innerhalb von 30 Sekunden öffnet Copilot eine Pullanforderung, um die Sicherheitsrisiken zu beheben, die Copilot und sich selbst zugewiesen haben. Die Pullanforderung enthält eine Zusammenfassung der Korrekturen und Details der vorgenommenen Änderungen. Nach der Erstellung wird die Pullanforderung neben der Warnung angezeigt.

Verwenden von GitHub Copilot Gespräch für sicheres Programmieren

Wenn du Zugriff auf Copilot-Chat hast, kannst du der KI Fragen zum Sicherheitsrisiko, dem vorgeschlagenen Fix und dem umfassenden Testen des Fixes stellen.

Tipp

Die Fähigkeit von Copilot, Fragen in natürlicher Sprache wie diese im Kontext eines Repository zu beantworten, wird optimiert, wenn der Index der semantischen Codesuche für das Repository auf dem neuesten Stand ist. Weitere Informationen finden Sie unter Indizieren von Repositorys für GitHub Copilot Chat.