Участие в кампании по безопасности кода

Если вам назначили оповещения в рамках кампании безопасности, это руководство объясняет, что такое кампании, чего ожидать и как эффективно их разрешать.

Кто может использовать эту функцию?

Пользователи с доступом на запись

Организации на GitHub Team или GitHub Enterprise Cloud с GitHub Secret Protection or GitHub Code Security включено

В этой статье

Что такое кампания по безопасности кода?

Кампания по безопасности кода — это целенаправленное усилие по устранению определённой группы code scanning оповещений в одном или нескольких репозиториях.

Кампании создаются владельцами организаций или менеджерами по безопасности и обычно нацелены на оповещения, обнаруженные в стандартных ветках репозиториев. Если вы участвуете в кампании, вас попросили помочь разобраться с некоторыми из этих оповещений.

Каковы преимущества участия в кампании?

Помимо снижения рисков в кодовой базе вашей организации, оповещения в кампании безопасности имеют и другие преимущества по сравнению с исправлением другого оповещения в вашем репозитории.

  • У вас есть руководитель кампании в группе безопасности для совместной работы и конкретной ссылки контакта для обсуждения действий кампании.
  • Вы знаете, что вы исправляете оповещение системы безопасности, важное для компании.
  • Возможно, у вас может быть доступ к целевым учебным материалам.
  • Вам не нужно запрашивать предложение GitHub Copilot Автофикс, оно уже доступно в качестве отправной точки.
  • Если у вас есть доступ к GitHub Copilot Чат, можно задать вопросы об оповещении и предлагаемом исправлении.
  • Вы улучшаете и демонстрируете свои знания о безопасном коде.

Участие в кампании помогает снизить риски в кодовой базе вашей организации и укрепить ваши навыки безопасного программирования.

1. Узнайте о кампаниях

Начните с просмотра обновлений кампаний и сроков, чтобы эффективно планировать свою работу.

Параметры уведомлений

Вы автоматически получите обновления электронной почты о кампаниях безопасности для любых репозиториев, к которых у вас есть доступ на запись , чтобы вы могли оставаться в курсе соответствующих обновлений.

Кроме того, вы получите уведомление, если кто-то присвоит вам оповещение code scanning или secret scanning, см. раздел «Назначение уведомлений».

Просмотр сведений о кампании

При открытии вкладки "Безопасность " для репозитория с одним или несколькими оповещениями кампании можно увидеть имя кампании на боковой панели представления. Щелкните имя кампании, чтобы просмотреть список оповещений, включенных в кампанию, и сводную информацию о том, как выполняется кампания.

Созданные кампанией GitHub Issues

Некоторые кампании автоматически создают GitHub Issues для каждого репозитория, где указаны менеджеры кампаний, URL контакта и дата счёта.

Используйте этот вопрос для координации работы, отслеживания прогресса и поддержания согласованности заинтересованных сторон. Например, вы можете использовать этот выпуск, чтобы:

  • Добавьте этот вопрос на доски проектов
  • Добавить назначенных лиц
  • Создавайте подвопросы или списки задач

2. Создайте контекст перед применением исправлений

Ваша группа безопасности может предоставить вам определенную подготовку перед участие в кампании, чтобы вы чувствовали себя в состоянии устранить оповещения, включенные в кампанию.

Если нет официальной программы обучения, вы можете запросить, чтобы менеджер кампании делится информацией о:

  • Типы уязвимостей безопасности, включенные в кампанию
  • Примеры их исправления
  • Тестирование исправлений

Кроме того, существуют внешние ресурсы для понимания распространенных проблем безопасности:

  • Фонд **** OWASP предоставляет множество ресурсов для изучения наиболее распространенных уязвимостей, см. сведения о Фонде OWASP.
  • Корпорация MITRE поддерживает подробный список распространенных слабых мест, см. сведения о CWE.

3. Сотрудничайте рано и часто

Кампания по безопасности обычно включает URL-адрес контакта, который может связать вас с менеджером кампании, открытым форумом (например, GitHub или веб-сайтом ресурсов. Вы должны использовать это пространство, чтобы задать вопросы о кампании или конкретных оповещениях, найти полезные ресурсы и поделиться знаниями.

Чтобы найти URL-адрес контакта, выполните следующие действия.

  1. Откройте вкладку "Безопасность " для репозитория.
  2. На левой боковой панели щелкните имя кампании, в который вы участвуете.
  3. На странице отслеживания кампании справа от имени руководителя кампании щелкните .

4. Групповые оповещения стратегически

Совместно разбирайтесь с аналогичными оповещениями, чтобы набрать импульс, уменьшить переключение контекста и глубже понять основную проблему. По мере того как вы получаете уверенность и эффективность в разрешении определенного типа оповещений, это упрощает и быстрее для устранения последующих оповещений.

5. Разрешайте оповещения с помощью Copilot

Вы можете использовать Copilot для решения оповещений в кампании безопасности. В зависимости от функций, включенных в вашем репозитории, у вас может быть доступ к Автофикс второго пилота предложениям и Копилот Чат.

Автофикс второго пилота

Автофикс второго пилота автоматически активируется для оповещений, включенных в кампанию, то есть по возможности исправления создаются автоматически. Вы можете зафиксировать предлагаемое исправление, чтобы устранить оповещение, а затем убедиться, что непрерывное тестирование интеграции (CI) для базы кода по-прежнему передается. См . раздел AUTOTITLE.

Если в репозитории включен Агент кодирования Copilot, вы также можете назначить оповещения Copilot. См . раздел AUTOTITLE.

Назначив несколько оповещений, Агент кодирования Copilot применит исправления и выполнит итерацию кода для проверки изменений, проверки на наличие новых проблем безопасности и отсутствия конфликтов слияния.

Копилот Чат

Вы можете попросить Копилот Чат помочь в понимании уязвимости, предлагаемом исправлении и о том, как проверить, является ли исправление исчерпывающим. Чтобы получить доступ к Копилот Чат, перейдите по https://github.com/copilot.

Кроме того, при просмотре определенного оповещения в правом верхнем углу страницы щелкните значок Копилот Чат (), чтобы открыть окно чата и задать вопросы о оповещении Copilot.

Рассмотрим пример.

Text

Explain how this alert introduces a vulnerability into the code.

Если у вас еще нет доступа к Копилот Чат через вашу организацию или enterprise, вы можете зарегистрироваться в GitHub Copilot Бесплатно. См . раздел AUTOTITLE.

Дальнейшие шаги

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign)