Participando de uma campanha de segurança de código

Se você recebeu alertas como parte de uma campanha de segurança, este guia explica quais são as campanhas, o que esperar e como resolver alertas efetivamente.

Quem pode usar esse recurso?

Usuários com com acesso para gravação

Organizações no GitHub Team ou GitHub Enterprise Cloud com o GitHub Secret Protection or GitHub Code Security habilitado

Neste artigo

O que é uma campanha de segurança de código?

Uma campanha de segurança de código é um esforço focado para corrigir um grupo definido de alertas code scanning em um ou mais repositórios.

As campanhas são criadas por donos da organização ou gerentes de segurança e normalmente direcionam alertas detectados nas ramificações padrão de repositórios. Se você estiver participando de uma campanha, você será solicitado a ajudar a resolver alguns desses alertas.

Quais são os benefícios de participar de uma campanha?

Além de reduzir o risco na base de código da sua organização, os alertas em uma campanha de segurança têm vários outros benefícios em comparação com a correção de outro alerta em seu repositório.

  • Você tem um gerente de campanha na equipe de segurança para colaborar e um link de contato específico para discutir as atividades da campanha.
  • Você sabe que está corrigindo um alerta de segurança que é importante para a empresa.
  • Você tem o potencial de ter acesso a materiais de treinamento segmentados.
  • Você não precisa solicitar uma sugestão do Correção Automática do GitHub Copilot, pois ela já está disponível como ponto de partida.
  • Se você tiver acesso ao Chat GitHub Copilot, poderá fazer perguntas sobre o alerta e a correção sugerida.
  • Você aprimora e demonstra seus conhecimentos sobre codificação segura.

Participar de uma campanha ajuda a reduzir o risco na base de código da sua organização, ao mesmo tempo em que fortalece suas habilidades de codificação seguras.

1. Saiba mais sobre campanhas

Comece examinando atualizações e prazos de campanha para que você possa planejar seu trabalho com eficiência.

Configurações de notificação

Você receberá automaticamente atualizações por email sobre campanhas de segurança para todos os repositórios aos quais você tem permissão de gravação, para que possa se manter informado sobre atualizações relevantes.

Além disso, você receberá uma notificação se alguém atribuir a você um alerta code scanning ou secret scanning. Consulte Atribuindo alertas.

Exibir detalhes da campanha

Ao abrir a guia Segurança de um repositório com um ou mais alertas de campanha, você poderá ver o nome da campanha na barra lateral da exibição. Clique no nome da campanha para ver a lista de alertas incluídos nela, bem como informações resumidas sobre como a campanha está progredindo.

GitHub Issues gerados pela campanha

Algumas campanhas criam automaticamente GitHub Issues para cada repositório e detalham os gerentes de campanha, o URL de contato e a data de entrega.

Use esta questão para coordenar o trabalho, acompanhar o progresso e manter as partes interessadas alinhadas. Por exemplo, você pode usar a questão para:

  • Adicionar o problema a quadros de projetos
  • Adicionar responsáveis
  • Criar sub-problemas ou listas de tarefas

2. Construir contexto antes de aplicar correções

Sua equipe de segurança pode lhe fornecer treinamento específico antes de sua participação em uma campanha, para que você se sinta equipado para lidar com os alertas incluídos na campanha.

Se nenhum programa de treinamento formal estiver disponível, você poderá solicitar que o gerente da campanha compartilhe informações sobre:

  • Tipos de vulnerabilidades de segurança incluídas na campanha
  • Exemplos de como corrigi-los
  • Como testar as correções

Além disso, há recursos externos para entender problemas de segurança comuns:

  • A OWASP Foundation fornece muitos recursos para aprender sobre as vulnerabilidades mais comuns; confira Sobre a OWASP Foundation.
  • A MITRE Corporation mantém uma lista detalhada de pontos fracos comuns; confira Sobre a CWE.

3. Colaborar cedo e com frequência

Uma campanha de segurança geralmente inclui uma URL de contato, que pode levar você ao gerente da campanha, a um fórum aberto (como uma discussão do GitHub) ou a um site de recursos. Use esse espaço para fazer perguntas sobre a campanha ou alertas específicos, encontrar recursos úteis e compartilhar conhecimentos.

Para localizar a URL de contato:

  1. Abra a aba Security do repositório.
  2. Na barra lateral esquerda, clique no nome da campanha da qual está participando.
  3. Na página de acompanhamento da campanha, à direita do nome do gerente da campanha, clique em .

4. Agrupar alertas estrategicamente

Enfrente alertas semelhantes juntos para criar impulso, reduzir a alternância de contexto e desenvolver uma compreensão mais profunda do problema subjacente. À medida que você ganha confiança e eficiência na resolução de um tipo específico de alerta, fica mais fácil e rápido resolver alertas subsequentes.

Próximas etapas

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign)