Hiérarchisation des alertes Dependabot et d'analyse de code à l'aide du contexte de production

Concentrez la remédiation sur les risques réels en ciblant les alertes Dependabot et code scanning dans les artefacts déployés en production, à l’aide de métadonnées provenant de registres externes tels que JFrog Artifactory, vos propres flux de travail CI/CD ou de Microsoft Defender for Cloud.

Dans cet article

Les managers d'Application Security (AppSec) sont souvent débordés par un grand nombre d'alertes, dont beaucoup peuvent ne pas représenter un risque réel, car le code concerné n'est jamais mis en production. En associant un contexte de production à vos alertes, vous pouvez filtrer et hiérarchiser les vulnérabilités qui affectent des artefacts réellement approuvés pour les environnements de production. Cela permet à votre équipe de concentrer les efforts de remédiation sur les vulnérabilités les plus critiques, de réduire le bruit et d’améliorer votre posture de sécurité.

1. Associer des artefacts au contexte de production

          GitHub
          linked artifacts page vous permet de fournir un contexte de production pour les builds de votre entreprise avec l’API REST ou une intégration partenaire. Les équipes peuvent ensuite utiliser ce contexte pour hiérarchiser Dependabot et code scanning les alertes. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/concepts/supply-chain-security/linked-artifacts) ».

Pour fournir un contexte de production, vous devez configurer votre système pour :

  • Mettez à jour les enregistrements de stockage dans le linked artifacts page lorsqu’un artefact est promu vers un dépôt de packages approuvé pour la production.

  • Mettez à jour les enregistrements de déploiement lorsqu’un artefact est déployé dans un environnement de production.

            GitHub traite ces métadonnées et l’utilise pour alimenter les filtres d’alerte, tels que `artifact-registry-url` et `artifact-registry` à partir d’enregistrements de stockage, et `has:deployment` à `runtime-risk` partir d’enregistrements de déploiement.

Pour plus d’informations sur la mise à jour des enregistrements, consultez Téléversement des données de stockage et de déploiement vers le linked artifacts page.

2. Utiliser des filtres de contexte de production

Les filtres de contexte de production sont disponibles dans les vues d’alerte et les vues de campagne de sécurité sous l’onglet Security and quality .

  •         **
        Dependabot alerts visualiser** : voir [Visualisation Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **
        Code scanning vue des alertes** : Consultez [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Affichage de campagne de sécurité** : voir [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Une fois la liste d’alertes affichée, utilisez les filtres artifact-registry-url ou les filtres artifact-registry dans les vues de l'organisation pour vous concentrer sur les vulnérabilités affectant les artefacts présents en production.

  • Pour votre propre dépôt d’artefacts hébergé à my-registry.example.com, vous utiliseriez :

    Text
    artifact-registry-url:my-registry.example.com

  • Si vous utilisez JFrog Artifactory, vous pouvez l’utiliser artifact-registry sans configuration supplémentaire dans GitHub:

    Text
    artifact-registry:jfrog-artifactory

Vous pouvez également utiliser les filtres has:deployment et runtime-risk pour vous concentrer sur les vulnérabilités que les métadonnées de déploiement indiquent comme étant dans le déploiement ou à risque de vulnérabilités d’exécution. Ces données sont remplies automatiquement si vous avez connecté MDC. Par exemple:

  • Pour vous concentrer sur les alertes dans le code déployé exposé à Internet, vous devez utiliser :

    Text
    has:deployment AND runtime-risk:internet-exposed

Vous pouvez également combiner ces filtres de contexte de production avec d’autres filtres, tels que EPSS :

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Corriger les alertes dans le code de production

Vous avez maintenant identifié les alertes qui mettent votre code de production à risque d’exploitation, vous devez les corriger en cas d’urgence. Si possible, utilisez l’automatisation pour réduire la barrière à la correction.

  •         **
        Dependabot alerts:** Utilisez des pull requests automatisées pour les correctifs de sécurité. Consultez [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **
        Code scanning alertes :** Créer des campagnes ciblées avec Copilot correction automatique. Consultez [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Lectures complémentaires

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)