Nota:
El contexto de producción se encuentra en versión preliminar pública y está sujeto a cambios.
Establecimiento de prioridades de Dependabot alerts mediante el contexto de producción
Los administradores de Seguridad de aplicaciones (AppSec) a menudo se ven sobrecargados por un gran volumen de Dependabot alerts, muchas de las cuales pueden no representar un riesgo real porque el código afectado nunca llega a producción. Al asociar el contexto de producción a las alertas, puedes filtrar y priorizar las vulnerabilidades que afectan a los artefactos realmente aprobados para entornos de producción. Esto permite al equipo centrar los esfuerzos de corrección en las vulnerabilidades más importantes, lo que reduce las alertas irrelevantes y mejora la posición de seguridad.
Asociar el contexto de producción con Dependabot alerts
GitHub habilita el contexto de producción para Dependabot alerts proporcionando una API de registro de almacenamiento. Esta API permite que los registros de paquetes o los flujos de trabajo de GitOps envíen datos del ciclo de vida de los artefactos a GitHub. Se debe llamar a la API cada vez que se promueve un artefacto a un repositorio de paquetes aprobado para producción.
GitHub procesa estos metadatos y los usa para activar nuevos filtros de alerta, como artifact-registry-url y artifact-registry. Para obtener más información, consulta Creación de un registro de almacenamiento de metadatos de artefactos en la documentación de la API de REST.
Pasos para priorizar las alertas
Sigue estos pasos para habilitar y usar el contexto de producción para la priorización de alertas:
Paso 1: Detectar e informar de promociones de artefactos de producción
En el flujo de trabajo de CI/CD o GitOps, cada vez que un artefacto se promueve a un repositorio de paquetes aprobado por producción, llama a la API de registro de almacenamiento para enviar los metadatos del artefacto a GitHub. Esto incluye información como el registro, el repositorio y la versión del artefacto. Consulta Artifact metadata.
Si usas JFrog Artifactory, no es necesario realizar ninguna integración personalizada. Artifactory se integra de forma nativa con la API de registro de almacenamiento. Solo tienes que habilitar la integración en la configuración de Artifactory y Artifactory emitirá automáticamente eventos de promoción de producción a GitHub.
El filtro artifact-registry:jfrog-artifactory funcionará sin necesidad de realizar ninguna configuración adicional en GitHub. Para obtener instrucciones de configuración, consulta Integración de JFrog y GitHub: JFrog para [GitHub Dependabot] en la documentación de JFrog.
Paso 2: Usar filtros de contexto de producción
Puedes ver todas las Dependabot alerts abiertas y cerradas y las Dependabot security updates correspondientes en la pestaña Dependabot alerts del repositorio.. Para obtener información sobre cómo acceder a esta pestaña, consulta Visualización de Dependabot alerts.
Una vez que se muestra la lista de alertas, usa los filtros artifact-registry-url o artifact-registry para centrarte en las vulnerabilidades que afectan a los artefactos presentes en producción. Por ejemplo:
artifact-registry-url:my-registry.example.com
artifact-registry:jfrog-artifactory
También puedes combinarlos con otros filtros, como EPSS.
epss > 0.5 AND artifact-registry-url:my-registry.example.com