Criando e gerenciando campanhas de segurança

Observação

Campanhas para alertas do secret scanning estão em versão prévia pública e estão sujeitas a alterações.

Como criar uma campanha de segurança

As campanhas de segurança são criadas e gerenciadas por meio da guia Segurança da sua organização.

Escolha os alertas que deseja incluir na campanha usando:

Modelos de campanha: modelos de campanha podem conter filtros para as seleções de alerta mais comuns. Para campanhas de código, todos eles também incluem o requisito de que há suporte para o Correção automática do GitHub Copilot em todos os tipos de alerta incluídos (ou seja, autofix:supported).
Filtros personalizados: criar uma campanha usando filtros personalizados permite que você defina seus próprios critérios para selecionar alertas para a campanha, bem como adaptar a campanha às necessidades específicas de sua organização.

Além disso, você pode usar a API REST para criar e interagir com campanhas de maneira mais eficiente e em escala. Para saber mais, confira Pontos de extremidade de API REST para campanhas de segurança.

Criar uma campanha

Em GitHub, acesse a página principal da organização.
No nome da sua organização, clique em Security.
Na barra lateral esquerda, clique em Campaigns.
Clique em Create campaign e selecione uma destas opções:
- Clique em From templatee selecione um modelo de campanha de Código ou Segredos predefinido na lista.
- Clique em From code scanning filters ou From secret scanning filters e, em seguida, adicione filtros para definir um subconjunto de alertas para a campanha. Confira Exemplos de filtros úteis.
Examine o conjunto de alertas a serem incluídos na campanha e ajuste os filtros conforme necessário. Certifique-se de escolher 1.000 alertas ou menos.
Quando estiver satisfeito com o escopo da campanha, clique em Save as, escolha se deseja criar uma campanha de rascunho ou finalize os detalhes da campanha antes de publicá-la:
- Se você planeja revisar o escopo e os detalhes da campanha antes do lançamento ou receber comentários sobre a implementação dela, clique em Draft campaign.
- Se você pretende publicar a campanha e não precisa de uma fase de revisão, clique em Publish campaign.
Opcionalmente, se você optou por criar uma campanha de rascunho, editar, salvar e revisar os detalhes da campanha:
- Edite o “Nome da campanha” e a “Descrição curta” de acordo com as necessidades da campanha e para vinculá-los a todos os recursos que dão suporte à campanha.
- Defina uma “Data de conclusão da campanha” e selecione um ou mais “Gerentes de campanha” como os principais contatos da campanha. Os gerentes de campanha precisam ser usuários ou equipes que são proprietários ou gerentes de segurança na organização.
- Opcionalmente, forneça um “Link de contato”, por exemplo, um link para o GitHub Discussions ou outro canal de comunicação, para entrar em contato com os gerentes de campanha.
- Clique em Salvar rascunho.
- Quando estiver pronto para publicar a campanha, no canto superior direito, clique em Review and publish.
Na página "Publish campaign", revise ou edite os detalhes da campanha:
- Nome da campanha
- Descrição breve
- Data de conclusão
- Gerentes da campanha
- Link de contato
Opcionalmente, para campanhas de "Código",, para criar issues de campanha em cada repositório incluído na campanha, na página "Publish campaign", em "Automations", marque a caixa de seleção ao lado de "Create issues for NÚMERO repositories in this campaign".
Clique em Publish campaign.

A campanha de segurança será criada e a página de visão geral da campanha será exibida.

Você criou com êxito uma campanha de segurança para a organização?

Sim Não

Exemplos de filtros úteis

Todos os filtros de modelo usam is:open para incluir apenas alertas que precisam ser resolvidos. Para alertas da code scanning, eles também devem estar presentes no branch padrão.

Filtros adicionais para alertas da code scanning:

autofilter:true inclui apenas os alertas que parecem estar no código do aplicativo.
autofix:supported inclui apenas os alertas referentes às regras com suporte para o Correção automática do GitHub Copilot.

Para obter mais informações sobre como filtrar alertas, confira Melhores práticas para corrigir alertas de segurança em escala e Visão geral da filtragem de alertas na segurança.

Filtros de alerta do Code scanning

Além dos filtros principais, o ideal é adicionar um filtro para limitar os resultados a uma severidade, uma tag ou um nome de regra específico.

is:open autofilter:true autofix:supported rule:java/log-injection para mostrar apenas os alertas para injeção de log no código Java. Confira Listas de consultas para conjuntos de consultas padrão.
is:open autofilter:true autofix:supported tag:external/cwe/cwe-117 para mostrar apenas os alertas para “CWE 117: Neutralização de saída inadequada para logs”. Isso inclui a injeção de log em Java e em outras linguagens.
is:open autofilter:true autofix:supported severity:critical para mostrar apenas alertas com severidade de segurança crítica.

Filtros de alerta da Secret scanning

Além dos filtros principais, o ideal é adicionar um filtro para limitar os resultados a um provedor, tipo de segredo ou segredos específicos que ignoraram a proteção por push (somente contas Enterprise).

is:open provider:azure para mostrar apenas alertas para o provedor de token do Azure.
is:open secret-type:azure_ai_services_key,azure_cognitive_services_key para mostrar apenas alertas para os tokens "azure_ai_services_key" e "azure_cognitive_services_key". Confira Padrões de varredura de segredos com suporte.
is:open props.BusinessPriority:Urgent para mostrar apenas alertas para repositórios em que a propriedade personalizada "BusinessPriority" tem o valor "Urgent". Confira Como gerenciar propriedades personalizadas para repositórios na sua organização.

Como iniciar uma campanha de segurança

Quando você cria uma campanha de código, todos os alertas são enviados automaticamente para o Correção automática do GitHub Copilot de modo a serem processados conforme a capacidade permitir. Isso garante que as sugestões de alertas encontrados em pull requests não sejam atrasadas por uma nova campanha. Na maioria dos casos, você descobrirá que todas as sugestões que podem ser criadas ficam prontas em até uma hora. Nos horários mais movimentados do dia ou para alertas particularmente complexos, isso levará mais tempo.

Como os desenvolvedores sabem que uma campanha de segurança foi iniciada

A nova campanha é mostrada na barra lateral da guia “Security” para cada repositório incluído.

Campanhas de código: qualquer pessoa com acesso de gravação a um repositório incluído na campanha será notificada.
Campanhas secretas: qualquer pessoa com acesso para ver a exibição da lista de alertas de um repositório incluído na campanha será notificada.

Dica

Você pode atribuir um alerta de campanha a qualquer pessoa com acesso de gravação ao repositório; confira Atribuindo alertas.

Para obter mais informações sobre a experiência do desenvolvedor, confira Como corrigir alertas em uma campanha de segurança.

Como aumentar a participação na campanha de segurança

A melhor maneira de aumentar a participação em uma campanha é publicá-la para as equipes com as quais você deseja colaborar para corrigir os alertas. Por exemplo, você pode trabalhar com gerentes de engenharia para escolher um período de desenvolvimento mais tranquilo a fim de realizar uma série de campanhas de segurança, cada uma voltada para um tipo diferente de alerta, com sessões de treinamento associadas. Para ter mais ideias, confira Melhores práticas para corrigir alertas de segurança em escala.

Como editar os detalhes da campanha de segurança

Você pode editar o nome, a descrição, a data de conclusão e o gerente de uma campanha.

Em GitHub, acesse a página principal da organização.
No nome da sua organização, clique em Security.
Na barra lateral esquerda, clique em Campaigns.
Na lista de campanhas, clique no nome da campanha para mostrar a exibição de acompanhamento dela.
Na linha de título da campanha, clique em e selecione Edit campaign.
Na caixa de diálogo “Editar campanha”, faça as alterações e selecione Salvar alterações.

As alterações serão feitas imediatamente.

Fechando, reabrindo e excluindo campanhas de segurança

Há um limite de dez campanhas ativas. Quando uma campanha for concluída ou se você quiser pausá-la, será preciso fechá-la. Você ainda pode exibir todas as campanhas fechadas na lista de campanhas "Closed", e pode reabrir uma campanha fechada.

Se você não precisar reter a campanha ou os dados dela, poderá excluí-la.

Fechar uma campanha

Em GitHub, acesse a página principal da organização.
No nome da sua organização, clique em Security.
Na barra lateral esquerda, clique em Campaigns.
À direita da campanha que deseja fechar, clique em e selecione Close campaign.

Reabrir um campanha fechada

Em GitHub, acesse a página principal da organização.
No nome da sua organização, clique em Security.
Na barra lateral esquerda, clique em Campaigns.
Acima da lista de campanhas, clique em Closed para exibir a lista de campanhas fechadas.
À direita da campanha que deseja reabrir, clique em e selecione Reopen campaign.

Excluir uma campanha

Em GitHub, acesse a página principal da organização.
No nome da sua organização, clique em Security.
Na barra lateral esquerda, clique em Campaigns.
À direita da campanha que deseja excluir, clique em e selecione Delete campaign.

Próximas etapas

Como acompanhar as campanhas de segurança