Hiérarchisation des alertes Dependabot et d'analyse de code à l'aide du contexte de production

Concentrez la remédiation sur les risques réels en ciblant les alertes de Dependabot et code scanning dans les artefacts déployés en production, en utilisant des métadonnées provenant de registres externes comme JFrog Artifactory, de vos propres flux de travail CI/CD, ou de Microsoft Defender for Cloud.

Dans cet article

Les managers d'Application Security (AppSec) sont souvent débordés par un grand nombre d'alertes, dont beaucoup peuvent ne pas représenter un risque réel, car le code concerné n'est jamais mis en production. En associant un contexte de production à vos alertes, vous pouvez filtrer et hiérarchiser les vulnérabilités qui affectent des artefacts réellement approuvés pour les environnements de production. Cela permet à votre équipe de concentrer les efforts de remédiation sur les vulnérabilités les plus critiques, de réduire le bruit et d’améliorer votre posture de sécurité.

1. Associer des artefacts au contexte de production

GitHub's linked artifacts page vous permet d'apporter un contexte de production aux compilations de votre entreprise à l'aide de la "REST API" ou d'une intégration avec un partenaire. Les équipes peuvent ensuite utiliser ce contexte pour prioriser Dependabot et code scanning les alertes. Pour plus d’informations, consultez « À propos des artefacts liés ».

Pour fournir un contexte de production, vous devez configurer votre système pour :

  • Mettez à jour les enregistrements de stockage dans le linked artifacts page chaque fois qu’un artefact est promu vers un référentiel de packages approuvé par la production.
  • Mettez à jour les enregistrements de déploiement lorsqu’un artefact est déployé dans un environnement de production.

GitHub traite ces métadonnées et les utilise pour alimenter les filtres d’alerte, tels que artifact-registry-url et artifact-registry à partir d’enregistrements de stockage, et has:deployment à runtime-risk partir d’enregistrements de déploiement.

Pour plus d’informations sur la mise à jour des enregistrements, consultez Chargement des données de stockage et de déploiement dans le linked artifacts page.

2. Utiliser des filtres de contexte de production

Les filtres de contexte de production sont disponibles dans les vues d’alerte et les vues de campagne de sécurité sous l’onglet Sécurité .

  •         **Vue Dependabot alerts**  : consultez [Affichage de Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **Vue des alertes Code scanning**  : consultez [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Affichage de campagne de sécurité** : voir [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Une fois la liste d’alertes affichée, utilisez les filtres artifact-registry-url ou les filtres artifact-registry dans les vues de l'organisation pour vous concentrer sur les vulnérabilités affectant les artefacts présents en production.

  • Pour votre propre dépôt d’artefacts hébergé à my-registry.example.com, vous utiliseriez :

    Text
    artifact-registry-url:my-registry.example.com

  • Si vous utilisez JFrog Artifactory, vous pouvez utiliser artifact-registry sans configuration supplémentaire dans GitHub :

    Text
    artifact-registry:jfrog-artifactory

Vous pouvez également utiliser les filtres has:deployment et runtime-risk pour vous concentrer sur les vulnérabilités que les métadonnées de déploiement indiquent comme étant dans le déploiement ou à risque de vulnérabilités d’exécution. Ces données sont remplies automatiquement si vous avez connecté MDC. Par exemple:

  • Pour vous concentrer sur les alertes dans le code déployé exposé à Internet, vous devez utiliser :

    Text
    has:deployment AND runtime-risk:internet-exposed

Vous pouvez également combiner ces filtres de contexte de production avec d’autres filtres, tels que EPSS :

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Corriger les alertes dans le code de production

Vous avez maintenant identifié les alertes qui mettent votre code de production à risque d’exploitation, vous devez les corriger en cas d’urgence. Si possible, utilisez l’automatisation pour réduire la barrière à la correction.

  •         **Dependabot alerts**  : utilisez des pull requests automatisées pour les correctifs de sécurité. Consultez [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **Code scanning alertes :** Créez des campagnes ciblées avec Copilot correction automatique. Consultez [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Lectures complémentaires

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)