Participation à une campagne de sécurité du code

Si vous avez reçu des alertes dans le cadre d’une campagne de sécurité, ce guide explique quelles campagnes sont, quelles sont les attentes et comment résoudre efficacement les alertes.

Qui peut utiliser cette fonctionnalité ?

Utilisateurs avec accès en écriture

Organisations sur GitHub Team avec GitHub Secret Protection or GitHub Code Security activé

Dans cet article

Qu’est-ce qu’une campagne de sécurité du code ?

Une campagne de sécurité du code est un effort ciblé pour corriger un groupe défini de code scanning alertes sur un ou plusieurs référentiels.

Les campagnes sont créées par les propriétaires d’organisation ou les gestionnaires de sécurité et ciblent généralement les alertes détectées dans les branches par défaut des référentiels. Si vous participez à une campagne, vous avez été invité à vous aider à résoudre certaines de ces alertes.

Quels sont les avantages de la participation à une campagne ?

En plus de réduire les risques dans la base de code de votre organisation, les alertes d’une campagne de sécurité présentent plusieurs autres avantages par rapport à la correction d’une autre alerte dans votre référentiel.

  • Vous disposez d’un responsable de campagne au sein de l’équipe de sécurité avec qui collaborer, ainsi que d’un lien de contact spécifique pour discuter des activités de la campagne.
  • Vous savez que vous corrigez une alerte de sécurité qui est importante pour l’entreprise.
  • Vous pouvez potentiellement accéder à des supports de formation ciblés.
  • Vous n’avez pas besoin de demander une suggestion GitHub Copilot correction automatique, elle est déjà disponible comme point de départ.
  • Si vous avez accès à GitHub Copilot Chat, vous pouvez poser des questions sur l’alerte et la correction suggérée.
  • Vous améliorez et démontrez vos connaissances en codage sécurisé.

La participation à une campagne permet de réduire les risques dans la base de code de votre organisation tout en renforçant vos compétences de codage sécurisées.

1. En savoir plus sur les campagnes

Commencez par examiner les mises à jour de campagne et les échéances afin de planifier votre travail efficacement.

Paramètres de notification

Vous recevrez automatiquement des mises à jour par e-mail concernant les campagnes de sécurité pour tous les référentiels auxquels vous avez un accès en écriture, afin que vous puissiez rester informé des mises à jour pertinentes.

En outre, vous recevrez une notification si quelqu’un vous assigne une alerte code scanning ou une alerte secret scanning. Consultez L'affectation des alertes.

Afficher les détails de la campagne

Lorsque vous ouvrez l’onglet Sécurité d’un dépôt contenant une ou plusieurs alertes de campagne, vous pouvez voir le nom de la campagne dans la barre latérale de la vue. Cliquez sur le nom de la campagne pour afficher la liste des alertes incluses dans la campagne ainsi qu’un résumé de l’avancement de celle-ci.

GitHub Issues générés par la campagne

Certaines campagnes créent automatiquement des GitHub Issues pour chaque dépôt, détaillant les responsables de campagne, l’URL de contact et la date d’échéance.

Utilisez ce problème pour coordonner le travail, suivre la progression et aligner les parties prenantes. Par exemple, vous pouvez utiliser le problème pour :

  • Ajouter le problème aux tableaux de projet
  • Ajouter des personnes assignées
  • Créer des sous-problèmes ou des listes de tâches

Construire le contexte avant d’appliquer des correctifs

Avant de participer à une campagne, votre équipe de sécurité peut vous proposer une formation spécifique, afin que vous soyez prêt à traiter les alertes incluses dans la campagne.

Si aucun programme de formation officiel n’est disponible, vous pouvez demander au responsable de la campagne de vous fournir des informations concernant :

  • Les types de vulnérabilités de sécurité incluses dans la campagne
  • Des exemples de corrections possibles
  • La manière de tester ces corrections

En outre, il existe des ressources externes pour mieux comprendre les problèmes de sécurité courants :

  • La fondation OWASP propose de nombreuses ressources pour se familiariser avec les vulnérabilités les plus fréquentes, voir À propos de la fondation OWASP.
  • La MITRE Corporation tient à jour une liste détaillée des faiblesses courantes, voir À propos de la CWE.

3. Collaborer tôt et souvent

Une campagne de sécurité comprend généralement une URL de contact, qui peut vous diriger vers le responsable de la campagne, un forum ouvert (tel qu’une discussion GitHub) ou un site web de ressources. Cet espace doit être utilisé pour poser des questions sur la campagne ou sur des alertes spécifiques, trouver des ressources utiles et partager vos connaissances.

Pour trouver l’URL de contact :

  1. Accédez à l’onglet Sécurité de votre dépôt.
  2. Dans la barre latérale gauche, cliquez sur le nom de la campagne à laquelle vous participez.
  3. Depuis la page de suivi de la campagne, à droite du nom du responsable de la campagne, cliquez sur .

4. Regrouper les alertes de manière stratégique

Traitez ensemble des alertes similaires pour créer un élan, réduire le changement de contexte et développer une compréhension plus approfondie du problème sous-jacent. À mesure que vous gagnez en confiance et en efficacité pour corriger un type d’alerte spécifique, il devient plus facile et rapide de traiter les alertes suivantes.

5. Résoudre les alertes à l’aide de Copilot

Vous pouvez tirer parti de Copilot pour aider à résoudre les alertes dans une campagne de sécurité. Selon les fonctionnalités activées dans votre référentiel, vous pouvez avoir accès aux suggestions Copilot correction automatique et à Tchat Copilot.

Vous pouvez utiliser Tchat Copilot pour obtenir de l’aide afin de comprendre la vulnérabilité, la correction proposée et la manière de vérifier si la correction est complète. Pour accéder à Tchat Copilot, rendez-vous sur https://github.com/copilot.

Lorsque vous consultez une alerte spécifique, vous pouvez également cliquer sur l’icône Tchat Copilot () dans le coin supérieur droit de la page pour ouvrir une fenêtre de conversation et poser vos questions concernant l’alerte à Copilot.

Par exemple:

Text

Explain how this alert introduces a vulnerability into the code.

Si vous n’avez pas encore accès à Tchat Copilot via votre organisation, vous pouvez vous inscrire à GitHub Copilot gratuit. Consultez Commencer avec un plan GitHub Copilot.

Étapes suivantes

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign)