参与代码安全活动

如果你在安全行动中被分配到警报, 本指南将介绍安全行动的内容、预期结果以及如何有效地解决警报。

谁可以使用此功能?

具有写入访问权限的用户

启用了 GitHub Secret Protection or GitHub Code Security 的 GitHub Team 或 GitHub Enterprise Cloud 上的组织

在本文中

什么是代码安全活动?

代码安全活动是一项有针对性的工作,旨在修复一个或多个存储库中一组已定义的 code scanning 警报。

活动由组织所有者或安全经理创建,通常针对存储库的默认分支中检测到的警报。 如果你正在参与某个活动,你被要求帮助解决其中一些警报。

参与活动有什么好处?

除了降低组织代码库中的风险外,安全活动中的警报相比仅仅修复存储库中的另一个警报,还具有其他几个好处。

  • 在安全团队中,有一位活动管理者可以与你协作,并且有一个专门的联系人链接用于讨论活动相关事宜。
  • 你知道你要修复的是对公司很重要的安全警报。
  • 你可能有权访问有针对性的培训材料。
  • 无需请求 GitHub Copilot自动修复 建议,因为它已作为起点提供。
  • 如果你有权访问 GitHub Copilot 聊天,可以提出有关警报和建议修复方法的问题。
  • 你正在完善并演示有关安全编码的知识。

参与市场活动有助于降低组织代码库的风险,同时增强安全编码技能。

1. 了解市场活动

首先查看活动更新和截止日期,以便您能有效规划工作。

通知设置

对于任何你拥有写权限的仓库,你将自动收到关于安全活动的电子邮件更新,以便及时了解相关更新****。

此外,如果有人向你分配 code scanning 或 secret scanning 警报,你会收到通知,请参阅 分配警报

查看活动详细信息

当您打开包含一个或多个活动警报的仓库的“安全”选项卡时,可以在视图的边栏中看到活动名称。 单击活动名称可查看活动中包含的警报列表,以及有关活动进展的摘要信息。

活动生成的 GitHub Issues

某些活动会为每个存储库自动创建 GitHub Issues,详细说明活动管理员、联系 URL 和截止日期。

使用此问题协调工作、跟踪进度并保持利益干系人保持一致。 例如,可以使用此问题来:

  • 将问题添加到项目面板
  • 添加指派对象
  • 创建子问题或任务列表

2.应用修补程序之前生成上下文

安全团队可以在参与活动之前为你提供特定的培训,以便你能够处理活动中包含的警报。

如果没有提供正式的培训计划,可以请求活动经理共享有关以下方面的信息:

  • 活动中包含的安全漏洞类型
  • 漏洞修复示例
  • 测试修补程序的方法

此外,还有一些外部资源可以帮助你了解常见的安全问题:

  • OWASP Foundation****:提供许多关于常见漏洞的学习资源,详见关于 OWASP Foundation
  • MITRE 公司****:维护常见漏洞的详细列表,详见关于 CWE

3. 尽早和经常进行协作

安全活动通常会包含一个联系 URL,可能链接至活动负责人、开放论坛(例如 GitHub 讨论区)或提供相关资源的网站。 应使用此空间来询问有关活动或特定警报的问题、查找有用的资源以及进行知识分享。

查找联系 URL:

  1. 打开仓库的“Security”选项卡****。
  2. 在左侧边栏上,单击你参与的活动的名称。
  3. 在活动跟踪页上,在活动负责人姓名右侧,单击“”****。

4. 战略性地对警报进行分组

一起处理类似的警报,以生成势头、减少上下文切换,并更深入地了解基础问题。 随着你在解决特定类型警报方面获得信心和效率,能使你更轻松、更迅速地解决后续警报。

5. 借助 Copilot 解决警报

你可以利用 Copilot 帮助解决安全活动中的警报。 根据存储库中启用的功能,你可能有权访问 Copilot自动修复 建议和 Copilot对话。

Copilot自动修复

如果警报包含在活动中,Copilot自动修复 会自动被触发,并在可能的情况下自动生成修复。 你可以提交建议的修复,以解决该警报,然后验证修复后的代码库是否仍然通过持续集成测试 (CI)。 请参阅“修复安全活动中的警报”。

Copilot对话

你可以向 Copilot对话 提问,获取关于漏洞理解、修复建议以及如何测试修复是否全面的帮助。 要访问 Copilot对话,请导航到 https://github.com/copilot

或者,在查看某个具体警报时,单击页面右上角的 Copilot对话 图标 (),打开聊天窗口,然后直接询问 Copilot 有关该警报的问题。

例如:

Text

Explain how this alert introduces a vulnerability into the code.

如果你尚未通过你的组织或企业获得 Copilot对话 的访问权限,可以注册 GitHub Copilot 免费。 请参阅“如何开始使用 GitHub Copilot 计划”。

后续步骤

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign)