Priorisieren von Dependabot-Warnungen mithilfe des Produktionskontexts

Du kannst dich auf das reale Risiko konzentrieren, indem du Dependabot alerts für Artefakte priorisierst, die tatsächlich in der Produktion vorhanden sind, und Metadaten aus externen Registrierungen wie JFrog Artifactory oder deinen eigenen CI/CD-Workflows verwendest.

Wer kann dieses Feature verwenden?

Dependabot alerts ist für die folgenden Repositorys verfügbar:

  • Repositorys im Besitz der Organisation und benutzereigene Repositorys

In diesem Artikel

Hinweis

Der Produktionskontext befindet sich in der public preview. Änderungen sind vorbehalten.

Priorisieren von Dependabot alerts mithilfe des Produktionskontexts

Verwaltende Personen für Anwendungssicherheit(AppSec) sind häufig von einer großen Menge an Dependabot alerts überlastet, von denen einige möglicherweise kein reales Risiko darstellen, da der betroffene Code nie in die Produktion gelangt. Wenn du deinen Warnungen den Produktionskontext zuordnen, kannst du Sicherheitsrisiken filtern und priorisieren, die sich auf Artefakte auswirken, die tatsächlich für Produktionsumgebungen genehmigt wurden. Dadurch kann sich dein Team auf die wichtigsten Sicherheitsrisiken konzentrieren und dabei Rauschen reduzieren und deinen Sicherheitsstatus verbessern.

Zuordnen von Dependabot alerts zum Produktionskontext

GitHub aktiviert den Produktionskontext für deine Dependabot alerts, indem eine Speicherdatensatz-API bereitgestellt wird. Durch diese API können Paketregistrierungen oder GitOps-Workflows Artefaktlebenszyklusdaten an GitHub senden. Die API sollte immer dann aufgerufen werden, wenn ein Artefakt in ein für die Produktion genehmigtes Paketrepository höher gestuft wird.

GitHub verarbeitet diese Metadaten und verwendet sie für Warnungsfilter wie artifact-registry-url und artifact-registry. Weitere Informationen findest du in der REST-API-Dokumentation unter Erstellen eines Speicherdatensatzes für Artefaktmetadaten.

Schritte zum Priorisieren von Warnungen

Führe die folgenden Schritte aus, um den Produktionskontext für die Priorisierung von Warnungen zu aktivieren und zu verwenden:

Schritt 1: Erkennen und Melden von Heraufstufungen von Produktionsartefakten

Rufe in deinem CI/CD- oder GitOps-Workflow die Speicherdatensatz-API auf, um die Metadaten des Artefakts an GitHub zu senden, wenn ein Artefakt in ein für die Produktion genehmigtes Paketrepository höher gestuft wird. Dazu gehören Informationen wie die Registrierung, das Repository und die Version des Artefakts. Weitere Informationen findest du unter Artifact metadata.

Wenn du JFrog Artifactory verwendest, musst du keine benutzerdefinierte Integration durchführen. Artifactory kann nativ mit der Speicherdatensatz-API integriert werden. Du musst die Integration lediglich in deinen Artifactory-Einstellungen aktivieren. Daraufhin gibt Artifactory automatisch Heraufstufungsereignisse für die Produktion an GitHub aus.

Der Filter artifact-registry:jfrog-artifactory funktioniert ohne weitere Einrichtung in GitHub. Anweisungen zum Einrichten findest du in der JFrog-Dokumentation unter JFrog- und GitHub-Integration: JFrog für [GitHub Dependabot].

Schritt 2: Verwenden von Produktionskontextfiltern

Sie können alle offenen und geschlossenen Dependabot alerts und entsprechenden Dependabot security updates im Dependabot alerts-Reiter Ihres Repositorys sehen.. Informationen zum Zugriff auf diese Registerkarte findest du unter Anzeigen von Dependabot alerts.

Nachdem die Warnungsliste angezeigt wurde, verwende die Filter artifact-registry-url oder artifact-registry, um dich auf Sicherheitsrisiken zu konzentrieren, die sich auf Artefakte in der Produktion auswirken. Zum Beispiel:

artifact-registry-url:my-registry.example.com
artifact-registry:jfrog-artifactory

Du kannst diese außerdem mit anderen Filtern wie EPSS kombinieren.

epss > 0.5 AND artifact-registry-url:my-registry.example.com

Weiterführende Themen