Corrección de alertas de una campaña de seguridad

Obtenga información sobre cómo buscar y corregir alertas en una campaña de seguridad.

¿Quién puede utilizar esta característica?

Usuarios con acceso de escritura

Organizaciones en GitHub Team con GitHub Secret Protection or GitHub Code Security habilitado

En este artículo

Visualización de alertas de una campaña de seguridad

Cuando una campaña tiene como destino las alertas de seguridad de un repositorio al que tiene acceso de escritura, puede ir a la lista de alertas de repositorio de la campaña.

  • Muestra la pestaña Security del repositorio y haz clic en una de las campañas en la barra lateral "Campaigns".
  • Si tienes acceso de escritura a más de un repositorio de la organización, muestra la pestaña Security de la organización y, en la barra lateral, haz clic en una de las campañas en "Campaigns".
  • Como alternativa, haz clic en View security campaign en la notificación por correo electrónico de la campaña.

En esta vista se muestran las alertas del repositorio actual de una campaña denominada "SQL injection (CWE-89)" (resaltada en gris) administrada por "octocat" (resaltado en naranja oscuro).

Captura de pantalla de la vista de campañas del repositorio que muestra la campaña "SQL injection (CWE-89)" y "Campaign manager" resaltada en naranja oscuro.

Corrección de alertas de una campaña de seguridad

Si deseas ver el código que desencadenó la alerta de seguridad y la corrección sugerida, haga clic en el nombre de la alerta para mostrar la vista de alertas.

  1. Cuando esté listo para trabajar en una o varias alertas de seguridad, compruebe que nadie más esté trabajando en esas alertas. En la vista de campaña, los iconos de Git se muestran sobre las alertas en las que es posible que ya haya una corrección en curso. Haz clic en un icono para mostrar el trabajo vinculado:

    • un borrador de una solicitud de cambios abierta puede corregir esta alerta.
    • : una solicitud de cambios abierta puede corregir esta alerta.
    • : una rama puede contener cambios para corregir esta alerta.

  2. En la vista de campaña del repositorio, seleccione las alertas que desea corregir.

  3. Conecte las alertas de seguridad a una rama de trabajo:

    • Si hay al menos una sugerencia de "Corrección automática" disponible para las alertas seleccionadas, haga clic en Confirmar corrección automática y confirme los cambios en una nueva rama o en una rama existente.
    • Si no hay sugerencias de corrección automática disponibles para las alertas seleccionadas, haga clic en Crear nueva rama para crear una nueva rama en la que trabajar para corregir las alertas.

  4. Cuando hayas terminado de corregir las alertas y probar las soluciones, cree una solicitud de incorporación de cambios para los cambios y solicite una revisión al administrador de campañas.

Sugerencia

Si tienes permiso de escritura para más de un repositorio de la campaña, haga clic en el vínculo del cuadro "Progreso de campaña" del repositorio para mostrar la vista de nivel de organización de la campaña. Al abrir un repositorio desde esta vista, se muestra la vista de alertas de la campaña.

Asignación de alertas a Agente de programación Copilot

Nota:

Esta opción está actualmente en versión preliminar pública y está sujeta a cambios. Agente de programación Copilot debe estar disponible en el repositorio.

Si se ha generado una corrección automática, puede asignar una o varias alertas a Copilot. Copilot creará solicitudes de incorporación de cambios, aplicará las correcciones automáticas y le añadirá como revisor solicitado.

Al asignar varias alertas, Agente de programación Copilot aplicará las correcciones e iteración en el código para validar los cambios, comprobar si hay nuevos problemas de seguridad y asegurarse de que no haya conflictos de combinación.

  1. En la vista de campaña del repositorio, seleccione las alertas que desea asignar.
  2. Encima de la lista de alertas, haga clic en Asignar a Copilot.

En un plazo de 30 segundos, Copilot abrirá un pull request para solucionar las vulnerabilidades de seguridad asignadas a Copilot y usted mismo. La solicitud de incorporación de cambios incluirá un resumen de las correcciones y detalles de los cambios realizados. Una vez creada, la solicitud de incorporación de cambios se muestra junto a la alerta.

Uso de Chat de GitHub Copilot para ls codificación segura

Si tiene acceso a chat de Copilot, puede hacer preguntas a la IA sobre la vulnerabilidad, la corrección sugerida y cómo probar que la corrección es exhaustiva.

Sugerencia

La capacidad de Copilot para responder a preguntas en lenguaje natural como estas en el contexto de un repositorio se optimiza cuando el índice de búsqueda semántica de código para el repositorio está actualizado. Para más información, consulta Indexación de repositorios para GitHub Copilot.