Priorización de alertas de análisis de código y Dependabot mediante el contexto de producción

Focaliza la corrección en el riesgo real centrándose en las alertas de Dependabot y code scanning en artefactos implementados en producción, usando metadatos de registros externos como JFrog Artifactory, sus propios flujos de trabajo de CI/CD o de Microsoft Defender for Cloud.

En este artículo

Los administradores de seguridad de aplicaciones (AppSec) suelen estar abrumados por un gran volumen de alertas, muchas de las cuales pueden no representar un riesgo real porque el código afectado nunca llega a producción. Al asociar el contexto de producción a las alertas, puedes filtrar y priorizar las vulnerabilidades que afectan a los artefactos realmente aprobados para entornos de producción. Esto permite al equipo centrar los esfuerzos de corrección en las vulnerabilidades más importantes, lo que reduce las alertas irrelevantes y mejora la posición de seguridad.

1. Asociación de artefactos con contexto de producción

GitHub's linked artifacts page le permite proporcionar contexto de producción para las compilaciones de su empresa mediante la API REST o una integración de asociados. A continuación, Teams puede usar este contexto para priorizar Dependabot y code scanning alertas. Para más información, consulta Acerca de los artefactos vinculados.

Para proporcionar contexto de producción, debe configurar el sistema para:

  • Actualice los registros de almacenamiento en linked artifacts page cada vez que se promueve un artefacto a un repositorio de paquetes aprobado para producción.
  • Actualice los registros de implementación cuando se implementa un artefacto en un entorno de producción.

GitHub procesa estos metadatos y lo usa para encender filtros de alerta, como artifact-registry-url y artifact-registry desde registros de almacenamiento, y has:deployment``runtime-risk desde registros de implementación.

Para obtener más información sobre la actualización de registros, consulte Carga de los datos de almacenamiento y despliegue en linked artifacts page.

2. Usar filtros de contexto de producción

Los filtros de contexto de producción están disponibles en las vistas de alerta y las vistas de campaña de seguridad en la pestaña Seguridad .

  •         **Vista de Dependabot alerts**: consulte [Visualización de Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **Vista de alertas de Code scanning**: consulte [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Vista de campaña de seguridad**: consulte [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Una vez que se muestra la lista de alertas, use los filtros artifact-registry-url o artifact-registry en las vistas de la organización para centrarse en las vulnerabilidades que afectan a los artefactos en producción.

  • Para su propio repositorio de artefactos hospedado en my-registry.example.com, usaría:

    Text
    artifact-registry-url:my-registry.example.com

  • Si usa JFrog Artifactory, puede usar artifact-registry sin ninguna configuración adicional en GitHub:

    Text
    artifact-registry:jfrog-artifactory

También puede usar los filtros has:deployment y runtime-risk para centrarse en vulnerabilidades que los metadatos de implementación muestran como en implementación o en riesgo de vulnerabilidades en tiempo de ejecución. Estos datos se rellenan automáticamente si ha conectado MDC. Por ejemplo:

  • Para centrarse en las alertas en el código implementado que se expone a Internet, usaría:

    Text
    has:deployment AND runtime-risk:internet-exposed

También puede combinar estos filtros de contexto de producción con otros filtros, como EPSS:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Corregir alertas en el código de producción

Ahora que ha identificado las alertas que ponen el código de producción en riesgo de explotación, debe corregirlos como cuestión de urgencia. Siempre que sea posible, use la automatización para reducir la barrera a la corrección.

  •         **Dependabot alerts:** usar solicitudes de incorporación de cambios automatizadas para correcciones de seguridad. Consulta [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **Alertas de Code scanning:** crear campañas dirigidas con Autofijo de Copilot. Consulta [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Lectura adicional

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)