Примечание.
Рабочий контекст находится в public preview и подлежит изменению.
Приоритет Dependabot alerts с помощью контекста рабочей среды
Диспетчеры безопасности приложений (AppSec) часто перегружены большим объемом данных Dependabot alerts, многие из которых не могут представлять реальный риск, так как затронутый код никогда не делает его в рабочей среде. Связав контекст рабочей среды с оповещениями, вы можете фильтровать и определять приоритеты уязвимостей, влияющих на артефакты, фактически утвержденные для рабочих сред. Это позволяет вашей команде сосредоточить усилия по исправлению уязвимостей, которые наиболее важны, уменьшая шум и повышая уровень безопасности.
Связывание контекста рабочей среды с Dependabot alerts
GitHub включает рабочий контекст для ваших Dependabot alerts путем предоставления API записи хранения. Этот API позволяет реестрам пакетов или рабочим процессам GitOps отправлять данные жизненного цикла артефакта в GitHub. API должен вызываться всякий раз, когда артефакт продвигается в репозиторий пакетов, утвержденный в рабочей среде.
GitHub обрабатывает эти метаданные и использует его для питания новых фильтров оповещений, таких как artifact-registry-url и artifact-registry. Дополнительные сведения см. в разделе "Создание записи хранилища метаданных артефактов" в документации по REST API.
Действия по приоритету оповещений
Выполните следующие действия, чтобы включить и использовать рабочий контекст для определения приоритетов оповещений:
Шаг 1. Обнаружение и предоставление отчетов о повышении производительности артефактов
В рабочем процессе CI/CD или GitOps каждый раз, когда артефакт продвигается в репозиторий, утвержденный в рабочей среде, вызовите API записи хранилища для отправки метаданных артефакта в GitHub. Сюда входят такие сведения, как реестр артефакта, репозиторий и версия. См . раздел AUTOTITLE.
Если вы используете JFrog Artifactory, вам не нужно выполнять пользовательскую интеграцию. Artifactory изначально интегрируется с API записи хранения. Необходимо включить интеграцию только в параметрах Artifactory, а Artifactory автоматически выдает события повышения производительности в GitHub.
Фильтр artifact-registry:jfrog-artifactory будет работать без дополнительной настройки в GitHub. Инструкции по настройке см. в статье JFrog и интеграция GitHub: JFrog для [GitHub Dependabot] в документации по JFrog.
Шаг 2. Использование фильтров контекста рабочей среды
Вы можете просмотреть все открытые и закрытые Dependabot alerts и соответствующие Dependabot security updates на вкладке Dependabot alerts в репозитории.. Сведения о доступе к этой вкладке см. в разделе "Просмотр Dependabot alerts".
После отображения списка оповещений используйте artifact-registry-url или artifact-registry фильтры, чтобы сосредоточиться на уязвимостях, влияющих на артефакты, присутствующих в рабочей среде. Например:
artifact-registry-url:my-registry.example.com
artifact-registry:jfrog-artifactory
Вы также можете объединить их с другими фильтрами, такими как EPSS.
epss > 0.5 AND artifact-registry-url:my-registry.example.com