Exécution d’une campagne de sécurité pour corriger les alertes à grande échelle

Lancez une campagne de sécurité ciblée pour corriger une classe spécifique d’alertes de sécurité, telles que le script intersites (XSS), au sein de votre organisation.

Qui peut utiliser cette fonctionnalité ?

Organisations sur GitHub Team ou GitHub Enterprise Cloud avec GitHub Secret Protection or GitHub Code Security activé

Dans cet article

Lancement de votre première campagne

Dans ce tutoriel, vous allez planifier et exécuter votre première campagne de sécurité à l’échelle de l’organisation axée sur les alertes XSS. En cours de route, vous allez apprendre à sélectionner les alertes appropriées, préparer les développeurs à réussir et structurer une campagne qui apporte des améliorations significatives dans votre posture de sécurité.

Imaginez que vous avez identifié un modèle récurrent de vulnérabilités XSS dans plusieurs référentiels. Au lieu de traiter les alertes un par un, vous décidez d’exécuter une campagne coordonnée qui réduit les risques tout en aidant les développeurs à renforcer la confiance dans le codage sécurisé.

1. Définir un objectif ciblé

Lors de l’exécution d’une campagne à grande échelle, il est tentant de cibler toutes les alertes urgentes en même temps. Si vos développeurs disposent déjà d’une solide base dans le codage sécurisé et la capacité disponible, cela peut fonctionner.

Toutefois, si votre objectif est de réduire les risques et d’améliorer les pratiques de codage sécurisées, une campagne ciblée est souvent plus efficace. Le choix d’un type de vulnérabilité unique, tel que l’écriture de scripts intersites, permet aux développeurs de reconnaître des modèles, d’appliquer l’apprentissage sur plusieurs correctifs et de créer un élan.

Pour cette campagne, vous décidez de vous concentrer sur les alertes XSS au sein de votre organisation, dans les limites du nombre d’alertes qu’une seule campagne peut inclure.

2. Sélectionner des alertes pour votre campagne

Dans la page alertes de sécurité, commencez par filtrer les alertes de script intersites. Vous pouvez également utiliser un modèle de campagne prédéfini, tel que l’écriture de scripts intersites (CWE-79) pour définir rapidement l’étendue. Pour plus d’informations sur le filtrage des alertes, consultez Filtrage des alertes dans la vue d’ensemble de la sécurité.

Remarque

Les campagnes de sécurité peuvent inclure jusqu’à 1 000 alertes. Si votre organisation a plus de 1 000 alertes XSS, réduisez vos filtres (par exemple, par dépôt, gravité ou langue) jusqu’à ce que le nombre d’alertes correspondantes se trouve dans cette limite, ou planifiez plusieurs campagnes pour couvrir les alertes restantes.

Si Copilot correction automatique est disponible pour votre campagne, vous pouvez affiner davantage le périmètre en utilisant le filtre autofix:supported. Cela permet aux développeurs de tirer parti des suggestions de correctif générées par l’IA pour corriger les alertes plus efficacement.

Avant de lancer la campagne, vous préparez également des supports pédagogiques de soutien. Par exemple:

  • Créez un référentiel avec des conseils sur la prévention des vulnérabilités XSS.
  • Lien vers des ressources de la Fondation OWASP, telles que l’écriture de scripts intersites (XSS).
  • Fournissez des exemples de modèles de codage sécurisés et d’approches de test.

Vous allez inclure des liens vers ces ressources dans la description de la campagne afin que les développeurs puissent les référencer à mesure qu’ils travaillent via leurs alertes affectées.

3. Affecter des responsables de campagne et définir des canaux de communication

Avant de lancer la campagne, décidez qui prendra en charge les développeurs tout au long du processus de correction.

Lorsque vous créez une campagne de sécurité, vous devez attribuer un ou plusieurs responsables de campagne. Les responsables de campagne doivent être :

  • Un utilisateur disposant du rôle propriétaire de l’organisation ou du rôle gestionnaire de sécurité, ou
  • Membre d’une équipe avec l’un de ces rôles

Choisissez les responsables qui peuvent :

  • Répondre aux questions sur les vulnérabilités XSS
  • Examiner les pull requests pour les correctifs
  • Aide à résoudre les cas de périphérie ou les scénarios de correction complexes

Étant donné que les responsables de campagne sont visibles par les développeurs participant à la campagne, il s’agit également d’une occasion d’établir une communication claire. Lors de la création de la campagne, incluez un lien de contact, tel qu’un lien vers un GitHub Discussions thread ou un autre canal de communication, afin que les développeurs sachent où poser des questions.

En définissant les attentes au début et en rendant le support visible, vous augmentez la confiance et améliorez les taux de correction.

4. Créer et publier la campagne

Vous êtes maintenant prêt à créer la campagne.

Lors de la définition de la campagne :

  • Utilisez votre filtre ou modèle XSS pour sélectionner les alertes.
  • Ajoutez une description claire expliquant l’objectif de la campagne.
  • Incluez des liens vers les ressources éducatives que vous avez préparées précédemment.
  • Définissez une date d’échéance réaliste en fonction du nombre d’alertes et de la capacité de correction attendue.

Si vous n’êtes pas sûr de l’étendue, créez d’abord un brouillon de campagne . Un brouillon vous permet de passer en revue les alertes qui seront incluses et de collaborer en interne avant la publication.

5. Activer le suivi des problèmes pour augmenter la visibilité

Pour aider les développeurs à suivre leur travail et à fournir une visibilité aux responsables, vous pouvez choisir de créer automatiquement un problème dans chaque référentiel inclus dans la campagne. Cela permet aux développeurs de gérer leur travail de correction au sein de leurs workflows et tableaux de projet existants.

Lorsque vous activez la création d’un problème, la « brève description » de la campagne, le « lien contact » et la date d’échéance sont automatiquement inclus dans le corps du problème. Si vous mettez à jour la brève description, le lien contact ou la date d’échéance, ces modifications sont reflétées dans les problèmes. En outre, lorsque la campagne atteint sa date d’échéance ou est fermée, un commentaire est publié sur chaque problème pour avertir les développeurs. Cette intégration permet de maintenir une communication claire et de maintenir l’organisation de la campagne sur plusieurs référentiels.

Soutenir les développeurs pendant la correction

Une fois la campagne active, votre rôle passe de l’organisateur à l’activation. Les développeurs commenceront à examiner et à corriger les alertes XSS dans leurs référentiels. Pour les aider à se déplacer efficacement et en toute confiance :

  • Assurez-vous que les gestionnaires de campagnes sont disponibles pour passer en revue les demandes de tirage et répondre aux questions.
  • Encouragez les développeurs à utiliser Tchat Copilot pour mieux comprendre pourquoi le code est vulnérable et comment valider leurs correctifs.
  • Lorsque cela est pris en charge, encouragez les développeurs à examiner et à tester les suggestions de Copilot correction automatique avant de fusionner les modifications.

Si vous avez préparé des ressources éducatives plus tôt, référencez-les dans les discussions et les révisions de pull request. Renforcer les conseils partagés réduit les questions répétées et aide à créer des habitudes de codage sécurisées à long terme.

En restant visible et réactif pendant la campagne, vous renforcez qu’il s’agit d’un effort collaboratif, pas seulement d’un exercice de conformité.

7. Définir une échéance réaliste

Vous définissez une date d’échéance lors de la création de la campagne. À mesure que la campagne progresse, assurez-vous que la chronologie reste réalisable.

Lors de la définition ou de l’ajustement de l’échéance, tenez compte des éléments suivants :

  • Nombre d’alertes incluses dans la campagne
  • Capacité de correction attendue des développeurs (par exemple, combien de temps ils peuvent consacrer à la résolution des alertes en même temps que leur travail normal)
  • Toutes les échéances ou congés de l’entreprise à venir qui peuvent avoir un impact sur la disponibilité

Sauf si la correction des alertes est une initiative dédiée, la plupart des développeurs équilibrent ce travail en même temps que le développement de fonctionnalités. La définition d’une chronologie réaliste augmente la participation et empêche le découragement.

Si nécessaire, vous pouvez exécuter plusieurs campagnes ciblées au fil du temps plutôt que de tenter de traiter tous les types d’alertes à la fois.

8. Fermer la campagne et itérer

À mesure que l’échéance approche, surveillez la progression et collaborez sur les correctifs complexes restants.

Lorsque la campagne est fermée :

  • Les problèmes de référentiel sont mis à jour automatiquement.
  • Les développeurs ont résolu un ensemble ciblé de vulnérabilités.
  • Votre organisation a réduit les risques d’une manière mesurable.

Plus important encore, les développeurs ont acquis une expérience pratique en reconnaissant et en corrigeant une classe spécifique de vulnérabilité.

À partir de là, vous pouvez répéter le processus avec un autre ensemble ciblé d’alertes, telles que l’injection SQL, la désérialisation non sécurisée ou les secrets exposés, pour améliorer constamment la posture de sécurité de votre organisation au fil du temps.

Étapes suivantes

Vous êtes prêt à lancer votre campagne ? Pour créer et gérer votre campagne de sécurité, consultez Création et gestion de campagnes de sécurité.