Participar en una campaña de seguridad de código

Si se le han asignado alertas como parte de una campaña de seguridad, esta guía explica qué campañas son, qué esperar y cómo resolver alertas de forma eficaz.

¿Quién puede utilizar esta característica?

Usuarios con acceso de escritura

Organizaciones en GitHub Team o GitHub Enterprise Cloud con GitHub Secret Protection or GitHub Code Security habilitado

En este artículo

¿Qué es una campaña de seguridad de código?

Una campaña de seguridad de código es un esfuerzo centrado en corregir un grupo definido de alertas de code scanning en uno o varios repositorios.

Las campañas las crean los propietarios de la organización o los administradores de seguridad y suelen tener como destino las alertas detectadas en las ramas predeterminadas de los repositorios. Si participa en una campaña, se le ha pedido que ayude a resolver algunas de estas alertas.

¿Cuáles son las ventajas de participar en una campaña?

Además de reducir el riesgo en el código base de la organización, las alertas de una campaña de seguridad tienen otras ventajas en comparación con la corrección de otra alerta en el repositorio.

  • Tiene un administrador de campaña en el equipo de seguridad con el que colaborar y un vínculo de contacto específico para analizar las actividades de la campaña.
  • Sabe que está corrigiendo una alerta de seguridad que es importante para la empresa.
  • Potencialmente, es posible que tenga acceso a materiales de entrenamiento específicos.
  • No es necesario solicitar una sugerencia de GitHub Copilot Corrección automática, ya está disponible como punto de partida.
  • Si tiene acceso a Chat de GitHub Copilot, puede hacer preguntas sobre la alerta y la corrección sugerida.
  • Está mejorando y demostrando sus conocimientos sobre la creación de código seguro.

La participación en una campaña ayuda a reducir el riesgo en el código base de la organización al tiempo que refuerza sus aptitudes de codificación seguras.

1. Más información sobre las campañas

Empiece por revisar las actualizaciones y fechas límite de la campaña para que pueda planear su trabajo de forma eficaz.

Configuración de notificación

Recibirás automáticamente actualizaciones por correo electrónico sobre las campañas de seguridad de los repositorios a los que tengas acceso de escritura, para que puedas mantenerte informado sobre las actualizaciones pertinentes.

Además, recibirá una notificación si alguien le asigna un code scanning o una alerta secret scanning, ver Asignación de alertas.

Visualización de los detalles de la campaña

Al abrir la pestaña Security de un repositorio con una o varias alertas de campaña, puede ver el nombre de la campaña en la barra lateral de la vista. Haga clic en el nombre de la campaña para ver la lista de alertas que incluye e información de resumen sobre cómo progresa.

GitHub Issues generadas por la campaña

Algunas campañas crean automáticamente GitHub Issues para cada repositorio que detalla los administradores de la campaña, la dirección URL de contacto y la fecha de vencimiento.

Use este problema para coordinar el trabajo, realizar un seguimiento del progreso y mantener las partes interesadas alineadas. Por ejemplo, puede usar el problema para:

  • Adición de la incidencia a los paneles del proyecto
  • Agregar asignados
  • Crear subtareas o listas de tareas

2. Construir el contexto antes de aplicar correcciones

Su equipo de seguridad puede proporcionarle formación específica antes de participar en una campaña, para que se sienta equipado para abordar las alertas incluidas en la campaña.

Si no hay ningún programa de entrenamiento formal disponible, puede solicitar que el administrador de la campaña comparta información sobre lo siguiente:

  • Tipos de vulnerabilidades de seguridad incluidas en la campaña
  • Ejemplos de cómo corregirlas
  • Cómo probar las correcciones

Además, hay recursos externos para comprender los problemas comunes de seguridad:

  • La OWASP Foundation proporciona muchos recursos para obtener información sobre las vulnerabilidades más comunes, consulte Acerca de OWASP Foundation.
  • La MITRE Corporation mantiene una lista detallada de puntos débiles comunes, consulte Acerca de CWE.

3. Colaborar temprano y a menudo

Por lo general, una campaña de seguridad incluirá una dirección URL de contacto, que puede vincularle al administrador de la campaña, un foro abierto (por ejemplo, un debate de GitHub) o un sitio web de recursos. Debe usar este espacio para formular preguntas sobre la campaña o alertas específicas, encontrar recursos útiles y compartir conocimientos.

Para buscar la dirección URL de contacto:

  1. Abra la pestaña Seguridad del repositorio.
  2. En la barra lateral izquierda, haz clic en el nombre de la campaña en la que participes.
  3. En la página de seguimiento de campañas, a la derecha del nombre del administrador de la campañas, haz clic en .

4. Agrupar alertas estratégicamente

Abordar alertas similares juntas para crear impulso, reducir el cambio de contexto y desarrollar una comprensión más profunda del problema subyacente. A medida que adquiera confianza y eficacia en la resolución de un tipo específico de alerta, le resultará más fácil y rápido resolver las alertas posteriores.

5. Resolver alertas con la ayuda de Copilot

Puede utilizar Copilot para ayudar a resolver alertas en una campaña de seguridad. Dependiendo de las características habilitadas en su repositorio, puede tener acceso a sugerencias de Autofijo de Copilot y chat de Copilot.

Autofijo de Copilot

Autofijo de Copilot se desencadena automáticamente para las alertas que se incluyen en una campaña, lo que significa que, siempre que sea posible, las correcciones se generan automáticamente. Puede confirmar la corrección sugerida para resolver la alerta y, a continuación, verificar que las pruebas de integración continua (CI) para la base de código siguen pasando. Consulta Corrección de alertas de una campaña de seguridad.

Si Agente de programación Copilot está habilitado en el repositorio, también puede asignar alertas a Copilot. Consulta Corrección de alertas de una campaña de seguridad.

Al asignar varias alertas, Agente de programación Copilot aplicará las correcciones e iteración en el código para validar los cambios, comprobar si hay nuevos problemas de seguridad y asegurarse de que no haya conflictos de combinación.

chat de Copilot

Puede pedirle a chat de Copilot que le ayude a entender la vulnerabilidad, la corrección sugerida y cómo probar que la corrección es exhaustiva. Para acceder a chat de Copilot, vaya a https://github.com/copilot.

Como alternativa, al ver una alerta específica, en la esquina superior derecha de la página, haga clic en el icono chat de Copilot () para abrir una ventana de chat y formule preguntas a Copilot sobre la alerta.

Por ejemplo:

Text

Explain how this alert introduces a vulnerability into the code.

Si todavía no tiene acceso a chat de Copilot desde su organización o empresa, puede registrarse para GitHub Copilot gratis. Consulta Cómo empezar con un plan de GitHub Copilot.

Pasos siguientes

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign)