Priorisieren von Dependabot- und Codeüberprüfungswarnungen mithilfe des Produktionskontexts

Konzentrieren Sie sich auf echte Risiken, indem Sie Warnungen bezüglich Dependabot und code scanning in für die Produktion bereitgestellten Artefakten anvisieren, mithilfe von Metadaten aus externen Registern wie JFrog Artifactory, Ihren eigenen CI/CD-Workflows oder von Microsoft Defender for Cloud.

In diesem Artikel

Anwendungssicherheitsmanager (AppSec) werden häufig von einer hohen Anzahl von Warnungen überfordert, von denen viele möglicherweise kein echtes Risiko darstellen, da der betroffene Code nie zur Produktion führt. Wenn du deinen Warnungen den Produktionskontext zuordnen, kannst du Sicherheitsrisiken filtern und priorisieren, die sich auf Artefakte auswirken, die tatsächlich für Produktionsumgebungen genehmigt wurden. Dadurch kann sich dein Team auf die wichtigsten Sicherheitsrisiken konzentrieren und dabei Rauschen reduzieren und deinen Sicherheitsstatus verbessern.

1. Zuordnen von Artefakten zum Produktionskontext

          GitHub
          linked artifacts page Es ermöglicht Ihnen, Produktionskontext für die Builds Ihres Unternehmens mithilfe der REST-API oder einer Partnerintegration bereitzustellen. Teams können diesen Kontext dann verwenden, um Dependabot- und code scanning-Warnungen zu priorisieren. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/concepts/supply-chain-security/linked-artifacts).

Um den Produktionskontext bereitzustellen, sollten Sie Ihr System folgendermaßen konfigurieren:

  • Aktualisieren Sie Speichereinträge in dem linked artifacts page immer, wenn ein Artefakt in ein produktionsfreigegebenes Paket-Repository höhergestuft wird.

  • Aktualisieren Sie Bereitstellungsdatensätze , wenn ein Artefakt in einer Produktionsumgebung bereitgestellt wird.

            GitHub verarbeitet diese Metadaten und nutzt sie, um Warnungsfilter zu betreiben, wie z. B. `artifact-registry-url` und `artifact-registry` aus Speicherdatensätzen und `has:deployment` und `runtime-risk` aus Bereitstellungsdatensätzen.

Weitere Informationen zum Aktualisieren von Datensätzen finden Sie unter ** Speicher- und Bereitstellungsdaten in das linked artifacts page hochladen.

2. Verwenden von Produktionskontextfiltern

Produktionskontextfilter werden in Warnungsansichten und Sicherheitskampagnenansichten auf der Security and quality Registerkarte verfügbar gemacht.

  •         **
        Dependabot alerts Ansicht**: Siehe [Anzeigen Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **
        Code scanning Warnungsansicht**: Siehe [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Ansicht "Sicherheitskampagne"**: Siehe [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Nachdem die Warnungsliste angezeigt wurde, verwenden Sie die artifact-registry-url Oder artifact-registry Filter in Den Organisationsansichten, um sich auf Sicherheitsrisiken zu konzentrieren, die Artefakte betreffen, die in der Produktion vorhanden sind.

  • Für Ihr eigenes Artefakt-Repository, das unter my-registry.example.comgehostet wird, würden Sie Folgendes verwenden:

    Text
    artifact-registry-url:my-registry.example.com

  • Wenn Sie JFrog Artifactory verwenden, können Sie artifact-registry ohne weitere Einrichtung in GitHub nutzen:

    Text
    artifact-registry:jfrog-artifactory

Sie können auch die has:deployment- und runtime-risk-Filter verwenden, um sich auf Sicherheitsrisiken zu konzentrieren, die in Bereitstellungsmetadaten als in der Bereitstellung befindlich oder als Laufzeitsicherheitsrisiken gilt. Diese Daten werden automatisch aufgefüllt, wenn Sie MDC verbunden haben. Beispiel:

  • Um sich auf Warnungen im bereitgestellten Code zu konzentrieren, der für das Internet verfügbar gemacht wird, verwenden Sie Folgendes:

    Text
    has:deployment AND runtime-risk:internet-exposed

Sie können diese Produktionskontextfilter auch mit anderen Filtern wie EPSS kombinieren:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Beheben von Warnungen im Produktionscode

Nachdem Sie die Warnungen identifiziert haben, die Ihren Produktionscode auf Ausbeutungsrisiko setzen, müssen Sie sie dringend beheben. Wenn möglich, verwenden Sie die Automatisierung, um die Barriere zur Behebung zu senken.

  •         **
        Dependabot alerts:** Verwenden Sie automatisierte Pullanforderungen für Sicherheitsfixes. Weitere Informationen findest du unter [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **
        Code scanning Warnungen:** Erstellen Sie gezielte Kampagnen mit Copilot Autofix. Weitere Informationen findest du unter [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)