Una vez que hayas identificado las alertas de seguridad, el siguiente paso es identificar las alertas más urgentes y corregirlas. Las campañas de seguridad son una manera de agrupar alertas y compartirlas con los desarrolladores, por lo que puedes colaborar para corregir vulnerabilidades en el código y en cualquier secreto expuesto.
Campañas de seguridad en el trabajo diario
Puede utilizar las campañas de seguridad para apoyar muchos de sus objetivos como responsable de seguridad.
- Mejorar la posición de seguridad de la empresa dirigiendo el trabajo para corregir las alertas.
- Reforzar el aprendizaje de seguridad para los desarrolladores mediante la creación de una campaña de alertas relacionadas de code scanning para corregirla de forma colaborativa.
- Asegurarse de que las alertas de secret scanning se resuelven dentro del destino de corrección.
- Crear relaciones de colaboración entre el equipo de seguridad y los desarrolladores para promover la propiedad compartida de las alertas de seguridad.
- Proporcionar claridad a los desarrolladores sobre las alertas más urgentes para resolver y supervisar la corrección de alertas.
Ventajas de usar campañas de seguridad
Una campaña de seguridad presenta muchas ventajas sobre otras maneras de animar a los desarrolladores a resolver alertas de seguridad. En particular,
- Se notifica a los desarrolladores sobre las campañas de seguridad a las que pueden contribuir.
- Los desarrolladores pueden ver las alertas que has resaltado para que se corrijan sin salir de sus flujos de trabajo normales.
- Cada campaña tiene un punto de contacto designado para preguntas, revisiones y colaboración.
- En el caso de las alertas de code scanning, GitHub Copilot Corrección automática se desencadena automáticamente para sugerir una resolución.
- Para code scanning y secret scanning, puede asignar alertas en una campaña a los usuarios con acceso de escritura o a Agente en la nube de Copilot para generar automáticamente solicitudes de incorporación de cambios con correcciones.
Puedes usar una de las plantillas para seleccionar un grupo de alertas estrechamente relacionadas para una campaña. Esto permite a los desarrolladores aprovechar el conocimiento adquirido al resolver una alerta y utilizarlo para resolver otras muchas, lo que les proporciona un incentivo para resolver varias alertas.
Además, puedes usar la API REST para crear e interactuar con campañas de forma más eficaz y a gran escala. Para más información, consulta Puntos de conexión de API REST para campañas de seguridad.
Diferencias entre las campañas de código y de secretos
Nota:
Las campañas para alertas de secret scanning se encuentran actualmente en versión preliminar pública y están sujetas a cambios.
El flujo de trabajo de creación es el mismo para todas las campañas, pero observarás algunas diferencias en el seguimiento del progreso y la experiencia del desarrollador.
| Propiedad | Código | Secreto |
|---|---|---|
| Alertas disponibles para su inclusión | Solo rama predeterminada | |
| Seguimiento de propuestas del repositorio | ||
| Notificaciones para desarrolladores | Requiere acceso de escritura al repositorio | Requiere ver el acceso a la lista de alertas |
| Asignación de alertas | Puede aumentar los permisos | |
| Compatibilidad con la corrección automática | GitHub Copilot Corrección automática |
Acerca de la asignación de alertas a los usuarios y Agente en la nube de Copilot
Puedes asignar una alerta de code scanning o secret scanning a cualquier usuario que tenga acceso de escritura para el repositorio.
Si el usuario asignado para una alerta de secret scanning no puede ver la lista de alertas, se elevan temporalmente sus permisos para esa alerta. Los permisos adicionales se revocan cuando se anula la asignación de la alerta.
GitHub notifica a los usuarios:
- Cuando ellos son asignados a una alerta
- Cuando se descarta esa alerta
Para code scanning, también puede realizar algunas de estas operaciones mediante programación mediante la API REST, como asignar o cancelar la asignación de usuarios a alertas y filtrar alertas por persona asignada. Para más información, consulta Puntos de conexión de la API de REST para el análisis de código en la documentación de la API de REST. Además, los webhooks están disponibles para notificarle cuando se asigna una alerta o se quita una asignación.
Si se ha generado una corrección automática para las alertas en una campaña de seguridad, puede seleccionarlas y asignarlas a Agente en la nube de Copilot. Copilot creará una solicitud de incorporación de cambios y le añadirá como revisor solicitado. Consulta Corrección de alertas de una campaña de seguridad.
Pasos siguientes
-
[AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale) -
[AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)