Участие в кампании по безопасности кода

Если вам назначили оповещения в рамках кампании безопасности, это руководство объясняет, что такое кампании, чего ожидать и как эффективно их разрешать.

Кто может использовать эту функцию?

Пользователи с доступом на запись

Организации на GitHub Team или GitHub Enterprise Cloud с GitHub Secret Protection or GitHub Code Security включено

В этой статье

Что такое кампания по безопасности кода?

Кампания по безопасности кода — это целенаправленное усилие по устранению определённой группы code scanning оповещений в одном или нескольких репозиториях.

Кампании создаются владельцами организаций или менеджерами по безопасности и обычно нацелены на оповещения, обнаруженные в стандартных ветках репозиториев. Если вы участвуете в кампании, вас попросили помочь разобраться с некоторыми из этих оповещений.

Каковы преимущества участия в кампании?

Помимо снижения рисков в кодовой базе вашей организации, оповещения в кампании безопасности имеют и другие преимущества по сравнению с исправлением другого оповещения в вашем репозитории.

  • У вас есть руководитель кампании в группе безопасности для совместной работы и конкретной ссылки контакта для обсуждения действий кампании.
  • Вы знаете, что вы исправляете оповещение системы безопасности, важное для компании.
  • Возможно, у вас будет доступ к целевых учебным материалам.
  • Вам не нужно запрашивать GitHub Copilot Autofix предложение, оно уже доступно как отправная точка.
  • Если у вас есть доступ к GitHub Copilot Chat, вы можете задавать вопросы о предупреждении и предлагаемом решении.
  • Вы улучшаете и демонстрируете свои знания о безопасном коде.

Участие в кампании помогает снизить риски в кодовой базе вашей организации и укрепить ваши навыки безопасного программирования.

1. Узнайте о кампаниях

Начните с просмотра обновлений кампаний и сроков, чтобы эффективно планировать свою работу.

Параметры уведомлений

Вы автоматически получите обновления электронной почты о кампаниях безопасности для любых репозиториев, к которых у вас есть доступ на запись , чтобы вы могли оставаться в курсе соответствующих обновлений.

Кроме того, вы получите уведомление, если кто-то присвоит вам оповещение code scanning или secret scanning, см. раздел «Назначение уведомлений».

Просмотр сведений о кампании

Когда вы открываете Security and quality вкладку репозитория с одним или несколькими оповещениями о кампании, вы видите название кампании в боковой панели представления. Щелкните имя кампании, чтобы просмотреть список оповещений, включенных в кампанию, и сводную информацию о том, как выполняется кампания.

Созданный кампанией GitHub Issues

Некоторые кампании автоматически создаются GitHub Issues для каждого репозитория с указанием менеджеров кампаний, URL контакта и сроки выполнения.

Используйте этот вопрос для координации работы, отслеживания прогресса и поддержания согласованности заинтересованных сторон. Например, вы можете использовать этот выпуск, чтобы:

  • Добавьте этот вопрос на доски проектов
  • Добавить назначенных лиц
  • Создавайте подвопросы или списки задач

2. Создайте контекст перед применением исправлений

Ваша группа безопасности может предоставить вам определенную подготовку перед участие в кампании, чтобы вы чувствовали себя в состоянии устранить оповещения, включенные в кампанию.

Если нет официальной программы обучения, вы можете запросить, чтобы менеджер кампании делится информацией о:

  • Типы уязвимостей безопасности, включенные в кампанию
  • Примеры их исправления
  • Тестирование исправлений

Кроме того, существуют внешние ресурсы для понимания распространенных проблем безопасности:

  • Фонд **** OWASP предоставляет множество ресурсов для изучения наиболее распространенных уязвимостей, см. сведения о Фонде OWASP.
  • Корпорация MITRE поддерживает подробный список распространенных слабых мест, см. сведения о CWE.

3. Сотрудничайте рано и часто

Кампания по безопасности обычно включает контактный URL, который может связать вас с менеджером кампании, открытым форумом (например GitHub , Обсуждением) или сайтом с ресурсами. Вы должны использовать это пространство, чтобы задать вопросы о кампании или конкретных оповещениях, найти полезные ресурсы и поделиться знаниями.

Чтобы найти URL-адрес контакта, выполните следующие действия.

  1. Откройте Security and quality вкладку вашего репозитория.
  2. На левой боковой панели щелкните имя кампании, в который вы участвуете.
  3. На странице отслеживания кампании, справа от имени менеджера кампании, нажмите .

4. Групповые оповещения стратегически

Совместно разбирайтесь с аналогичными оповещениями, чтобы набрать импульс, уменьшить переключение контекста и глубже понять основную проблему. По мере того как вы получаете уверенность и эффективность в разрешении определенного типа оповещений, это упрощает и быстрее для устранения последующих оповещений.

5. Разрешайте оповещения с помощью Copilot

Вы можете использовать его Copilot для решения оповещений в кампании безопасности. В зависимости от функций, включенных в вашем репозитории, у вас может быть доступ к Copilot Autofix предложениям и Copilot Chat.

Copilot Autofix

          Copilot Autofix автоматически срабатывает для оповещений, включённых в кампанию, то есть по возможности исправления автоматически генерируются для вас. Вы можете зафиксировать предлагаемое исправление, чтобы устранить оповещение, а затем убедиться, что непрерывное тестирование интеграции (CI) для базы кода по-прежнему передается. См [. раздел AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign).

Если Copilot облачный агент включено в репозитории, вы также можете назначить оповещения на Copilot. См . раздел AUTOTITLE.

Назначив несколько оповещений, Copilot облачный агент мы применим исправления и итерацию кода, чтобы проверить изменения, проверить новые проблемы с безопасностью и убедиться, что нет конфликтов слияния.

Copilot Chat

Вы можете попросить Copilot Chat помочь понять уязвимость, предлагаемое решение и как проверить, что оно комплексное. Чтобы получить доступ Copilot Chat, перейти к https://github.com/copilot.

Или, при просмотре конкретного оповещения в правом верхнем углу страницы нажмите на Copilot Chat значок (), чтобы открыть окно чата и задать Copilot вопросы о предупреждении.

Рассмотрим пример.

Text

Explain how this alert introduces a vulnerability into the code.

Если у вас ещё нет доступа через вашу организациюCopilot Chat или предприятие, вы можете зарегистрироваться на .GitHub Copilot бесплатно См . раздел AUTOTITLE.

Дальнейшие шаги

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign)