Procedimientos recomendados para participar en una campaña de seguridad

Descubre cómo participar con éxito en una campaña de seguridad y cómo puede beneficiar tu carrera profesional, así como tu código.

¿Quién puede utilizar esta característica?

Usuarios con acceso de escritura

Organizaciones en GitHub Team con GitHub Code Security habilitado

En este artículo

¿Qué es una campaña de seguridad?

Una campaña de seguridad es un grupo de alertas de seguridad, detectadas en las ramas predeterminadas de los repositorios, elegidas por el propietario de una organización o un administrador de seguridad para corregirlas.

Para participar en una campaña de seguridad, puedes corregir una o varias de las alertas incluidas en la campaña.

Cuáles son las ventajas de participar en una campaña

Además de la ventaja de eliminar un problema de seguridad importante del código base de la organización, las alertas de una campaña de seguridad tienen otras ventajas en comparación con la corrección de otras alertas del repositorio.

  • Tienes un administrador de campaña en el equipo de seguridad con el que colaborar y un vínculo de contacto específico para analizar las actividades de campaña.
  • Sabes que estás corrigiendo una alerta de seguridad que es importante para la empresa.
  • Potencialmente, es posible que tengas acceso a materiales de entrenamiento específicos.
  • No es necesario solicitar una sugerencia de GitHub Copilot Autofix, ya está disponible como punto de partida.
  • Si tienes acceso a GitHub Copilot Chat, puedes hacer preguntas sobre la alerta y la corrección sugerida.
  • Estás mejorando y demostrando tus conocimientos sobre la creación de código seguro.

La adopción de algunos procedimientos recomendados clave puede ayudarte a participar correctamente en una campaña.

Manténgase informado

Configuración de notificación

Para recibir actualizaciones por correo electrónico sobre las campañas de seguridad en repositorios a los que tienes acceso de escritura, asegúrate de que:

  • Ves todos los repositorios a los que tienes acceso de escritura.
  • Te suscribes a las notificaciones de "Toda la actividad" o "Alertas de seguridad".

Visualización de los detalles de la campaña

Al abrir la pestaña Security de un repositorio con una o varias alertas de campaña, puedes ver el nombre de la campaña en la barra lateral de la vista. Haz clic en el nombre de la campaña para ver la lista de alertas que incluye e información de resumen sobre cómo progresa la campaña.

GitHub Issues generadas por la campaña

Algunas campañas crean automáticamente GitHub Issues para cada repositorio que detalla los administradores de la campaña, la dirección URL de contacto y la fecha de vencimiento.

Puedes usar esta incidencia para planear y realizar el seguimiento del trabajo de campaña como parte de tus flujos de trabajo habituales, como por ejemplo:

  • Agregar la incidencia a paneles de proyectos
  • Agregar personas asignadas
  • Crear subincidencias o listas de tareas

Buscar en el contexto

Tu equipo de seguridad puede proporcionarte formación específica antes de participar en una campaña, de modo que te sientas equipado para abordar las alertas incluidas en la campaña.

Si no hay ningún programa de entrenamiento formal disponible, puedes solicitar que el administrador de la campaña comparta información sobre lo siguiente:

  • Tipos de vulnerabilidades de seguridad incluidas en la campaña
  • Ejemplos de cómo corregirlas
  • Cómo probar las correcciones

Además, hay recursos externos para comprender problemas comunes de seguridad:

  • OWASP Foundation proporciona muchos recursos para obtener información sobre las vulnerabilidades más comunes, consulta Acerca de OWASP Foundation.
  • MITRE Corporation mantiene una lista detallada de puntos débiles comunes, consulta Acerca de CWE.

Agrupación de alertas similares

Al corregir alertas de seguridad como parte de una campaña, puede resultar útil agrupar y corregir alertas similares. Al hacerlo, puedes desarrollar una comprensión más profunda del problema subyacente. A medida que obtienes confianza y eficacia en la resolución de un tipo específico de alerta, podrás resolver de alertas posteriores con más facilidad y velocidad.

Aprovechamiento de Copilot

Copilot Autofix

Copilot Autofix se desencadena automáticamente para las alertas que se incluyen en una campaña, lo que significa que, siempre que sea posible, las correcciones se generan automáticamente. Puedes confirmar la corrección sugerida para resolver la alerta y, después, comprobar que las pruebas de integración continua (CI) para el código base se superan. Consulta Corrección de alertas de una campaña de seguridad.

Copilot Chat

Puedes pedirle a Copilot Chat que te ayude a entender la vulnerabilidad, la corrección sugerida y cómo probar que la corrección es exhaustiva. Para acceder a Copilot Chat, ve a https://github.com/copilot.

Como alternativa, al ver una alerta específica, en la esquina superior derecha de la página, haz clic en el icono Copilot Chat () para abrir una ventana de chat y formular preguntas a Copilot sobre la alerta.

Por ejemplo:

Text

Explain how this alert introduces a vulnerability into the code.

Si todavía no tienes acceso a Copilot Chat desde tu organización, puedes registrarte para GitHub Copilot Free. Para más información, consulta Introducción a un plan de Copilot.

Realizar preguntas

Por lo general, una campaña de seguridad incluirá una dirección URL de contacto, que puede vincularte al administrador de la campaña, un foro abierto (por ejemplo, un debate de GitHub) o un sitio web de recursos. Debes usar este espacio para formular preguntas sobre la campaña o alertas específicas, encontrar recursos útiles y compartir conocimientos.

Para buscar la dirección URL de contacto:

  1. Abre la pestaña Security del repositorio.
  2. En la barra lateral izquierda, haz clic en el nombre de la campaña en la que participes.
  3. En la página de seguimiento de campañas, a la derecha del nombre del administrador de la campañas, haz clic en .

Pasos siguientes