Was ist eine Codesicherheitskampagne?
Eine Codesicherheitskampagne ist ein fokussierter Versuch, eine definierte Gruppe von code scanning Warnungen in einem oder mehreren Repositorys zu beheben.
Kampagnen werden von Organisationsbesitzern oder Sicherheitsmanagern erstellt und behandeln in der Regel Warnungen, die in den Standardverzweigungen von Repositorys erkannt wurden. Wenn Sie an einer Kampagne teilnehmen, wurden Sie aufgefordert, einige dieser Warnungen zu beheben.
Welche Vorteile hat die Teilnahme an einer Kampagne?
Neben der Reduzierung des Risikos in der Codebasis Ihrer Organisation haben Warnungen in einer Sicherheitskampagne im Vergleich zum Beheben einer anderen Warnung in Ihrem Repository mehrere weitere Vorteile.
- Es gibt einen Kampagnenmanager im Sicherheitsteam, mit dem du zusammenarbeiten kannst, und einen bestimmten Kontaktlink zum Diskutieren von Kampagnenaktivitäten.
- Dir ist bewusst, dass du eine Sicherheitswarnung behebst, die für das Unternehmen wichtig ist.
- Möglicherweise haben Sie Zugriff auf gezielte Schulungsmaterialien.
- Wenn Copilot-Cloud-Agent verfügbar ist, können Sie Copilot Warnungen zuweisen, und es behebt diese für Sie in einem Pull Request. Andernfalls steht bereits ein GitHub Copilot Autofix Vorschlag als Ausgangspunkt zur Verfügung.
- Wenn Sie Zugriff haben GitHub Copilot Gespräch, können Sie Fragen zu der Warnung und der vorgeschlagenen Lösung stellen.
- Du bildest dich fort und demonstrierst dein Wissen über das Schreiben sicheren Codes.
Die Teilnahme an einer Kampagne trägt dazu bei, das Risiko in der Codebasis Ihrer Organisation zu reduzieren und gleichzeitig Ihre sicheren Codierungsfähigkeiten zu stärken.
1. Erfahren Sie mehr über Kampagnen
Beginnen Sie mit der Überprüfung von Kampagnenaktualisierungen und Stichtagen, damit Sie Ihre Arbeit effektiv planen können.
Benachrichtigungseinstellungen
Du erhältst automatisch E-Mail-Updates zu Sicherheitskampagnen für alle Repositorys, auf die du Schreibzugriff hast, damit du über relevante Updates auf dem Laufenden bleiben kannst.
Darüber hinaus erhalten Sie eine Benachrichtigung, wenn Ihnen jemand eine code scanning oder eine secret scanning Benachrichtigung zuweist, siehe Zuweisen von Benachrichtigungen.
Kampagnendetails anzeigen
Wenn Sie die Security and quality Registerkarte für ein Repository mit mindestens einer Kampagnenbenachrichtigung öffnen, wird der Kampagnenname in der Randleiste der Ansicht angezeigt. Klicke auf den Kampagnennamen, um die Liste der Warnungen in der Kampagne und zusammenfassende Informationen dazu anzuzeigen, wie die Kampagne voranschreitet.
Kampagnengenerierte GitHub Issues
Einige Kampagnen erstellen GitHub Issues automatisch für jedes Repository, das die Kampagnenmanager, die Kontakt-URL und das Fälligkeitsdatum enthält.
Verwenden Sie dieses Thema, um die Arbeit zu koordinieren, den Fortschritt nachzuverfolgen und die Projektbeteiligten auf dem Laufenden zu halten. Sie können das Problem beispielsweise für Folgendes verwenden:
- Hinzufügen des Problems zu Projektboards
- Zuweisungen hinzufügen
- Erstellen von Unterproblemen oder Aufgabenlisten
2. Erstellen des Kontexts vor dem Anwenden von Fixes
Dein Sicherheitsteam kann dir vor der Teilnahme an einer Kampagne eine gezielte Schulung anbieten, um dich auf den Umgang mit den in der Kampagne enthaltenen Warnungen vorzubereiten.
Wenn kein formelles Schulungsprogramm verfügbar ist, kannst du anfordern, dass das Kampagnenmanagement folgende Informationen teilt:
- Typen von Sicherheitsrisiken, die in der Kampagne vorkommen
- Beispiele für deren Behebung
- Vorgehensweise beim Testen der Fixes
Darüber hinaus gibt es externe Ressourcen für allgemeine Sicherheitsissues:
- Die OWASP Foundation bietet viele Ressourcen mit Informationen zu den häufigsten Sicherheitsrisiken unter About the OWASP Foundation.
- Die MITRE Corporation führt eine detaillierte Liste allgemeiner Schwachstellen, siehe About CWE.
3. Frühzeitig und häufig zusammenarbeiten
Eine Sicherheitskampagne enthält in der Regel eine Kontakt-URL, die Sie mit dem Kampagnenmanager, einem offenen Forum (z. B. einer GitHub Diskussion) oder einer Website mit Ressourcen verknüpfen kann. Verwende diesen Bereich, um Fragen zu der Kampagne oder bestimmten Warnungen zu stellen, hilfreiche Ressourcen zu finden und Wissen zu teilen.
So suchst du die Kontakt-URL:
- Öffnen Sie die Security and quality Registerkarte für Ihr Repository.
- Klicke auf der linken Randleiste auf den Namen der Kampagne, an der du teilnimmst.
- Klicken Sie auf der Seite "Kampagnenverfolgung" rechts neben dem Namen des Kampagnenmanagers auf .
4. Warnungen strategisch gruppieren
Lösen Sie ähnliche Warnungen zusammen, um Dynamik zu schaffen, den Kontextwechsel zu reduzieren und ein tieferes Verständnis des zugrunde liegenden Problems zu entwickeln. Sobald du beim Lösen bestimmter Arten von Warnungen sicherer und erfolgreicher geworden bist, kannst du auch andere Warnungen einfacher und schneller lösen.
5. Lösen von Warnungen mit Hilfe von Copilot
Sie können Copilot nutzen, um Warnungen in einer Sicherheitskampagne zu beheben. Abhängig von den in Ihrem Repository aktivierten Features haben Sie möglicherweise Zugriff auf Copilot Autofix Vorschläge und Copilot-Chat.
Automatische Behebung für code scanning Warnmeldungen
Wenn Copilot-Cloud-Agent im Repository aktiviert ist, können Sie eine oder mehrere Warnungen in der Kampagnenansicht auswählen und diese Copilotzuweisen. Copilot-Cloud-Agent untersucht die Codebasis, generiert Korrekturen, überprüft die Änderungen und öffnet eine einzelne Pull-Anforderung für die ausgewählten Warnungen. Weitere Informationen findest du unter Beheben von Warnungen in einer Sicherheitskampagne.
Wenn Copilot-Cloud-Agent im Repository nicht aktiviert ist, wird Copilot Autofix für Warnungen, die in einer Kampagne enthalten sind, automatisch ausgelöst, sodass nach Möglichkeit eine Fehlerbehebung für Sie generiert wird. Führen Sie einen Commit für den vorgeschlagenen Fix aus, um die Warnung zu beheben, und stellen Sie sicher, dass CI noch übergeben wird. Siehe Beheben von Warnungen in einer Sicherheitskampagne.
Copilot-Chat
Sie können Copilot-Chat um Hilfe bitten, um das Verständnis der Sicherheitsanfälligkeit, der vorgeschlagenen Behebung und wie Sie testen, ob die Behebung umfassend ist, zu erhalten. Um darauf zuzugreifen Copilot-Chat, navigieren Sie zu https://github.com/copilot.
Alternativ können Sie beim Anzeigen einer bestimmten Benachrichtigung in der oberen rechten Ecke der Seite auf das Copilot-Chat Symbol () klicken, um ein Chatfenster zu öffnen und Fragen zur Warnung zu stellen Copilot .
Beispiel:
Explain how this alert introduces a vulnerability into the code.
Explain how this alert introduces a vulnerability into the code.
Wenn Sie noch nicht über Ihre Organisation Copilot-Chat oder Ihr Unternehmen, können Sie sich anmeldenGitHub Copilot Kostenlos. Weitere Informationen findest du unter Erste Schritte mit einem GitHub Copilot Plan.