Résolution des alertes dans une campagne de sécurité

Découvrez comment rechercher et corriger des alertes dans une campagne de sécurité.

Qui peut utiliser cette fonctionnalité ?

Utilisateurs avec accès en écriture

Organisations sur GitHub Team avec GitHub Code Security activé

Dans cet article

Résolution des alertes dans une campagne de sécurité

Lorsqu’une campagne cible des alertes de sécurité dans un référentiel auquel vous avez accès en écriture, vous pouvez accéder à la liste des alertes de référentiel dans la campagne.

  • Affichez l’onglet Sécurité pour le référentiel, puis cliquez sur l’une des campagnes figurant dans la barre latérale sous « Campagnes ».
  • Si vous avez activé les notifications par e-mail pour « Toutes les activités » ou « Alertes de sécurité » dans le référentiel, cliquez sur Afficher la campagne de sécurité dans l’e-mail de la campagne.
  • Si vous avez accès en écriture à plusieurs référentiels de l’organisation, affichez l’onglet Sécurité pour l’organisation, puis cliquez sur l’une des campagnes sous « Campagnes » dans la barre latérale.

Cette vue affiche les alertes dans le référentiel actuel pour une campagne appelée « Injection SQL (CWE-89) » (gris mis en surbrillance) gérée par « octocat » (plan en orange foncé).

Capture d’écran de la vue de campagne du référentiel avec la campagne « Injection SQL (CWE-89) » affichée et le « Gestionnaire de campagne » décrit en orange foncé.

Résolution des alertes dans une campagne de sécurité

Si vous souhaitez voir le code qui a déclenché l’alerte de sécurité et le correctif suggéré, cliquez sur le nom de l’alerte pour afficher l’affichage de l’alerte.

  1. Lorsque vous êtes prêt à travailler sur une ou plusieurs alertes de sécurité, vérifiez que personne d’autre ne travaille déjà sur ces alertes. Dans la vue de la campagne, des icônes Git s’affichent sur les alertes où un correctif peut déjà être en cours. Cliquez sur une icône pour afficher le travail lié :

    • un brouillon ouvert de demande de tirage peut corriger cette alerte.
    • une demande de tirage ouverte peut corriger cette alerte.
    • une branche peut contenir des modifications pour corriger cette alerte.

  2. Dans la vue de la campagne du référentiel, sélectionnez les alertes que vous souhaitez corriger.

  3. Connectez les alertes de sécurité à une branche de travail :

    • Si au moins une suggestion « Correction automatique » est disponible pour les alertes sélectionnées, cliquez sur Valider la correction automatique et validez les modifications apportées à une nouvelle branche ou à une branche existante.
    • Si aucune suggestion de correction automatique n’est disponible pour les alertes sélectionnées, cliquez sur Créer une branche pour créer une branche dans laquelle vous allez travailler sur la résolution des alertes.

  4. Une fois que vous avez terminé de corriger les alertes et de tester vos solutions, créez une demande de tirage pour vos modifications et demandez une révision au manager de campagne.

Conseil

Si vous disposez d’une autorisation en écriture pour plusieurs référentiels de la campagne, cliquez sur le lien dans la zone « Progression de la campagne » dans votre référentiel pour afficher la vue de la campagne au niveau de l’organisation. Lorsque vous ouvrez un référentiel à partir de cette vue, la vue des alertes de campagne s’affiche.

Utilisation de GitHub Copilot Chat pour un codage sécurisé

Si vous avez accès à Copilot Chat, vous pouvez poser des questions à l’IA concernant la vulnérabilité, la correction proposée et la façon de tester si la correction est complète.

Conseil

La capacité de Copilot à répondre à des questions en langage naturel comme celles-ci dans le contexte d'un référentiel est optimisée lorsque l'index de recherche de code sémantique pour le référentiel est à jour. Pour plus d’informations, consultez « Indexation de référentiels pour Copilot Chat ».