Устранение оповещений в кампании безопасности

Узнайте, как найти и исправить оповещения в кампании безопасности.

Кто может использовать эту функцию?

Пользователи с доступом на запись

Организации на GitHub Team или GitHub Enterprise Cloud с GitHub Secret Protection or GitHub Code Security включено

В этой статье

Просмотр оповещений в кампании безопасности

Когда кампания предназначена для оповещений системы безопасности в репозитории с доступом на запись, вы можете перейти к списку оповещений репозитория в кампании.

  • Откройте вкладку "Безопасность " репозитория и выберите одну из кампаний в разделе "Кампании" на боковой панели.
  • Если у вас есть доступ на запись к нескольким репозиториям в организации, откройте вкладку "Безопасность " для организации и выберите одну из кампаний в разделе "Кампании" на боковой панели.
  • Кроме того, щелкните "Просмотреть кампанию безопасности" в уведомлении по электронной почте кампании.

В этом представлении отображаются оповещения в текущем репозитории для кампании под названием "Внедрение SQL (CWE-89)" (выделен серый), управляемый "октокатом" (описанным в темно-оранжевый).

Снимок экрана: представление кампании репозитория с кампанией "Внедрение SQL (CWE-89)" и "Менеджер кампании", описанный в темно-оранжевый цвет.

Устранение оповещений в кампании безопасности

Если вы хотите увидеть код, который активировал оповещение системы безопасности и предлагаемое исправление, щелкните имя оповещения, чтобы отобразить представление оповещений.

  1. Когда вы готовы к работе с одним или несколькими оповещениями системы безопасности, убедитесь, что никто еще не работает над этими оповещениями. В представлении кампании значки Git отображаются в оповещениях, где исправление уже может выполняться. Щелкните значок, чтобы отобразить связанную работу:

    • открытый запрос на вытягивание черновика может исправить это оповещение.
    • открытый запрос на вытягивание может исправить это оповещение.
    • ветвь может содержать изменения для исправления этого оповещения.

  2. В представлении кампании для репозитория выберите оповещения, которые требуется исправить.

  3. Подключите оповещения системы безопасности к рабочей ветви:

    • Если для выбранных оповещений доступно хотя бы одно предложение "Автофикс", нажмите кнопку "Зафиксировать автофикс " и зафиксируйте изменения в новой ветви или существующей ветви.
    • Если для выбранных оповещений нет предложений автофикса, нажмите кнопку "Создать ветвь", чтобы создать новую ветвь , в которой вы будете работать над исправлением оповещений.

  4. Завершив исправление оповещений и тестирование решений, создайте запрос на вытягивание изменений и запросите проверку от руководителя кампании.

Совет

Если у вас есть разрешение на запись для нескольких репозиторий в кампании, щелкните ссылку в поле "Ход выполнения кампании" в репозитории, чтобы отобразить представление кампании на уровне организации. При открытии репозитория из этого представления отображается представление оповещений кампании.

Назначение оповещений Агент кодирования Copilot

Примечание.

В настоящее время этот вариант находится в общедоступной предварительной версии и может быть изменен. Агент кодирования Copilot должны быть доступны в репозитории.

Если было сгенерировано автоисправление, вы можете назначить одно или несколько предупреждений Copilot. Copilot создаст запросы на вытягивание, применит автоисправления и добавит вас в качестве запрошенного рецензента.

Назначив несколько оповещений, Агент кодирования Copilot применит исправления и выполнит итерацию кода для проверки изменений, проверки на наличие новых проблем безопасности и отсутствия конфликтов слияния.

  1. В представлении кампании для репозитория выберите оповещения, которые необходимо назначить.
  2. Над списком предупреждений нажмите Назначить Copilot.

В течение 30 секунд Copilot откроет запрос на вытягивание для устранения уязвимостей безопасности, назначенных Copilot и вам. Запрос на вытягивание будет содержать сводку исправлений и сведения о внесенных изменениях. После создания запрос на вытягивание отображается рядом с предупреждением.

Использование GitHub Copilot Чат для безопасного написания кода

Если у вас есть доступ к Копилот Чат, вы можете задать вопросы об уязвимости, предлагаемое исправление и как проверить, что исправление является исчерпывающим.

Совет

Copilotвозможности ответов на вопросы естественного языка, такие как эти в контексте репозитория, оптимизированы при актуальном индексе поиска семантического кода для репозитория. Дополнительные сведения см. в разделе Индексирование репозиториев для GitHub Copilot Chat.