注意
生产环境上下文处于 公共预览版,可能会随时更改。
使用生产环境上下文确定 Dependabot alerts 的优先级
应用程序安全性 (AppSec) 管理者通常疲于处理大量 Dependabot alerts,其中许多警报可能并不构成实际风险,因为受影响的代码从未部署到生产环境。 通过将生产环境上下文与警报关联,你可以筛选并优先处理那些会影响已获准部署到生产环境的工件的漏洞。 这使你的团队能够将修正工作集中在最重要的漏洞上,从而减少干扰并提升安全态势。
将生产环境上下文与 Dependabot alerts 关联
GitHub 通过提供存储记录 API,为你的 Dependabot alerts 启用生产环境上下文。 此 API 允许包注册表或 GitOps 工作流将工件生命周期数据发送到 GitHub。 每当有工件被提升至经生产环境批准的包仓库时,都应调用此 API。
GitHub 将处理此元数据,并利用它来支持新警报筛选器,例如 artifact-registry-url 和 artifact-registry。 有关详细信息,请参阅 REST API 文档中的创建工件元数据存储记录。
确定警报优先级的步骤
请按照以下步骤启用并使用生产环境上下文来确定警报优先级:
步骤 1:检测并报告生产环境工件提升
在 CI/CD 或 GitOps 工作流中,每当有工件被提升至经生产环境批准的包仓库时,都需调用存储记录 API,以将该工件的元数据发送到 GitHub。 这包括工件的注册表、仓库和版本等信息。 请参阅“Artifact metadata”。
如果使用 JFrog Artifactory,则无需执行任何自定义集成。 Artifactory 本机支持与存储记录 API 集成。 你只需在 Artifactory 的设置中启用该集成,Artifactory 就会自动向 GitHub 发送生产环境工件提升事件。
artifact-registry:jfrog-artifactory 筛选器在 GitHub 中无需额外配置,即可开箱即用。 有关设置说明,请参阅 JFrog 文档中的 JFrog 与 GitHub 的集成:适用于 [GitHub Dependabot] 的 JFrog。
步骤 2:使用生产环境上下文筛选器
你可以在存储库的 Dependabot alerts 选项卡中查看所有打开和关闭的 Dependabot alerts 以及对应的 Dependabot security updates。。 有关访问此选项卡的信息,请参阅查看 Dependabot alerts。
显示警报列表后,可使用 artifact-registry-url 或 artifact-registry 筛选器,重点关注那些影响生产环境中存在的工件的漏洞。 例如:
artifact-registry-url:my-registry.example.com
artifact-registry:jfrog-artifactory
还可将这些筛选器与其他筛选器(例如 EPSS)结合使用。
epss > 0.5 AND artifact-registry-url:my-registry.example.com