Priorizando alertas do Dependabot e de verificação de código no contexto de produção

Concentre a remediação no risco real, visando alertas de Dependabot e code scanning em artefatos implantados em produção, usando metadados de registros externos como o JFrog Artifactory, seus próprios fluxos de trabalho de CI/CD ou do Microsoft Defender for Cloud.

Neste artigo

Os gerentes do AppSec (Segurança do Aplicativo) geralmente são sobrecarregados por um alto volume de alertas, muitos dos quais podem não representar risco real porque o código afetado nunca chega à produção. Ao associar o contexto de produção aos alertas, você pode filtrar e priorizar vulnerabilidades que afetam os artefatos realmente aprovados para ambientes de produção. Isso permite que sua equipe concentre os esforços de correção nas vulnerabilidades mais importantes, reduzindo o ruído e melhorando sua postura de segurança.

1. Associar artefatos ao contexto de produção

permite que você forneça contexto de produção para os builds da sua empresa usando a API REST ou uma integração de parceiros. Em seguida, as equipes podem usar esse contexto para priorizar os alertas Dependabot e code scanning. Para saber mais, confira Sobre artefatos vinculados.

Para fornecer contexto de produção, você deve configurar seu sistema para:

  • Atualize os registros de armazenamento no linked artifacts page sempre que um artefato for promovido a um repositório de pacotes aprovado para produção.
  • Atualize os registros de implantação quando um artefato é implantado em um ambiente de produção.

GitHub processa esses metadados e os usa para alimentar filtros de alerta, como artifact-registry-url e artifact-registry de registros de armazenamento e has:deployment de runtime-risk registros de implantação.

Para obter mais informações sobre como atualizar registros, consulte Carregando dados de armazenamento e implantação no linked artifacts page.

2. Usar filtros de contexto de produção

Os filtros de contexto de produção são disponibilizados em exibições de alerta e exibições de campanha de segurança na guia Segurança .

  •         **Exibir Dependabot alerts**: ver [Visualizar Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **Visualizar alertas Code scanning**: consulte [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Exibição da campanha de segurança**: consulte [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Depois que a lista de alertas for exibida, use os filtros artifact-registry-url ou artifact-registry nas exibições da organização para se concentrar em vulnerabilidades que afetam artefatos presentes na produção.

  • Para seu próprio repositório de artefatos que está hospedado em my-registry.example.com, você usaria:

    Text
    artifact-registry-url:my-registry.example.com

  • Se você usar o JFrog Artifactory, poderá usar artifact-registry sem nenhuma configuração adicional no GitHub:

    Text
    artifact-registry:jfrog-artifactory

Você também pode usar os filtros has:deployment e runtime-risk para focar em vulnerabilidades que os metadados de implantação indicam como estando em implantação ou em risco de vulnerabilidades de tempo de execução. Esses dados são preenchidos automaticamente se você tiver conectado MDC. Por exemplo:

  • Para se concentrar em alertas no código implantado exposto à Internet, você usaria:

    Text
    has:deployment AND runtime-risk:internet-exposed

Você também pode combinar esses filtros de contexto de produção com outros filtros, como EPSS:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Corrigir alertas no código de produção

Agora que você identificou os alertas que colocam seu código de produção em risco de exploração, você precisa corrigi-los como uma questão de urgência. Sempre que possível, use a automação para reduzir a barreira à correção.

  •         **Dependabot alerts:** use pull requests automatizadas para correções de segurança. Confira [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **Alertas Code scanning:** crie campanhas focadas com Autofixo do Copilot. Confira [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Leitura adicional

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)