Como priorizar alertas do Dependabot usando o contexto de produção

Você pode concentrar a correção em risco real priorizando Dependabot alerts para artefatos realmente presentes na produção usando metadados de registros externos, como JFrog Artifactory ou seus próprios fluxos de trabalho de CI/CD.

Quem pode usar esse recurso?

O Dependabot alerts está disponível para os seguintes repositórios:

  • Repositórios pertencentes à organização e ao usuário

Neste artigo

Observação

A produção de contexto está em versão prévia pública e está sujeita a alterações.

Como priorizar Dependabot alerts usando contexto de produção

Os gerentes de Segurança de Aplicativo (AppSec) geralmente estão sobrecarregados por um alto volume de Dependabot alerts, muitos dos quais podem não representar risco real porque o código afetado nunca vai para produção. Ao associar o contexto de produção aos alertas, você pode filtrar e priorizar vulnerabilidades que afetam os artefatos realmente aprovados para ambientes de produção. Isso permite que sua equipe concentre os esforços de correção nas vulnerabilidades mais importantes, reduzindo o ruído e melhorando sua postura de segurança.

Como associar contexto de produção a Dependabot alerts

O GitHub habilita o contexto de produção para seu Dependabot alerts fornecendo uma API Registro de Armazenamento. Essa API permite que os registros de pacote ou fluxos de trabalho do GitOps enviem dados do ciclo de vida do artefato para o GitHub. A API deve ser chamada sempre que um artefato for promovido para um repositório de pacotes aprovado para produção.

O GitHub processa esses metadados e os usa para ligar novos filtros de alerta, como artifact-registry-url e artifact-registry. Para obter mais informações, confira Criar registro de armazenamento de metadados de artefato na documentação da API REST.

Etapas para priorizar os alertas

Siga estas etapas para habilitar e usar o contexto de produção para priorização de alertas:

Etapa 1: detectar e relatar promoções de artefato de produção

No fluxo de trabalho de CI/CD ou GitOps, sempre que um artefato for promovido para um repositório de pacotes aprovado para produção, chame a API Registro de Armazenamento para enviar os metadados do artefato para o GitHub. Isso inclui informações como registro, repositório e versão do artefato. Confira Artifact metadata.

Se você usar o JFrog Artifactory, não precisará executar nenhuma integração personalizada. O Artifactory integra-se nativamente à API Registro de Armazenamento. Você só precisa habilitar a integração nas configurações do Artifactory, e o Artifactory emitirá automaticamente eventos de promoção de produção para o GitHub.

O filtro artifact-registry:jfrog-artifactory funcionará sem nenhuma configuração adicional em GitHub. Para obter instruções de configuração, confira JFrog e Integração do GitHub: JFrog para [GitHub Dependabot] na documentação do JFrog.

Etapa 2: Usar filtros de contexto de produção

Você pode exibir todos os Dependabot alerts abertos e fechados e as Dependabot security updates correspondentes na guia Dependabot alerts do seu repositório.. Para obter informações sobre como acessar esta guia, confira Como exibir Dependabot alerts.

Depois que a lista de alertas for exibida, use os filtros artifact-registry-url ou artifact-registry para se concentrar nas vulnerabilidades que afetam os artefatos presentes na produção. Por exemplo:

artifact-registry-url:my-registry.example.com
artifact-registry:jfrog-artifactory

Você também pode combiná-los com outros filtros, como o EPSS.

epss > 0.5 AND artifact-registry-url:my-registry.example.com

Leitura adicional