O que é uma campanha de segurança de código?
Uma campanha de segurança de código é um esforço focado para corrigir um grupo definido de code scanning alertas em um ou mais repositórios.
As campanhas são criadas por donos da organização ou gerentes de segurança e normalmente direcionam alertas detectados nas ramificações padrão de repositórios. Se você estiver participando de uma campanha, você será solicitado a ajudar a resolver alguns desses alertas.
Quais são os benefícios de participar de uma campanha?
Além de reduzir o risco na base de código da sua organização, os alertas em uma campanha de segurança têm vários outros benefícios em comparação com a correção de outro alerta em seu repositório.
- Você tem um gerente de campanha na equipe de segurança para colaborar e um link de contato específico para discutir as atividades da campanha.
- Você sabe que está corrigindo um alerta de segurança que é importante para a empresa.
- Potencialmente, você pode ter acesso a materiais de treinamento direcionados.
- Se agente de nuvem Copilot estiver disponível, você poderá atribuir alertas a Copilot, e ele os resolverá para você em um pull request. Caso contrário, uma Correção Automática do GitHub Copilot sugestão já está disponível como ponto de partida.
- Se você tiver acesso, Copilot Chat do GitHubpoderá fazer perguntas sobre o alerta e a correção sugerida.
- Você aprimora e demonstra seus conhecimentos sobre codificação segura.
Participar de uma campanha ajuda a reduzir o risco na base de código da sua organização, ao mesmo tempo em que fortalece suas habilidades de codificação seguras.
1. Saiba mais sobre campanhas
Comece examinando atualizações e prazos de campanha para que você possa planejar seu trabalho com eficiência.
Configurações de notificação
Você receberá automaticamente atualizações por email sobre campanhas de segurança para todos os repositórios aos quais você tem permissão de gravação, para que possa se manter informado sobre atualizações relevantes.
Além disso, você receberá uma notificação se alguém atribuir um code scanning ou um secret scanning alerta a você, consulte Atribuindo alertas.
Exibir detalhes da campanha
Ao abrir a guia Security and quality para um repositório com um ou mais alertas de campanha, você pode ver o nome da campanha na barra lateral. Clique no nome da campanha para ver a lista de alertas incluídos nela, bem como informações resumidas sobre como a campanha está progredindo.
Gerado pela campanha GitHub Issues
Algumas campanhas criam automaticamente GitHub Issues para cada repositório que detalham os gerentes de campanha, a URL de contato e a data de conclusão.
Use esta questão para coordenar o trabalho, acompanhar o progresso e manter as partes interessadas alinhadas. Por exemplo, você pode usar a questão para:
- Adicionar o problema a quadros de projetos
- Adicionar responsáveis
- Criar sub-problemas ou listas de tarefas
2. Construir contexto antes de aplicar correções
Sua equipe de segurança pode lhe fornecer treinamento específico antes de sua participação em uma campanha, para que você se sinta equipado para lidar com os alertas incluídos na campanha.
Se nenhum programa de treinamento formal estiver disponível, você poderá solicitar que o gerente da campanha compartilhe informações sobre:
- Tipos de vulnerabilidades de segurança incluídas na campanha
- Exemplos de como corrigi-los
- Como testar as correções
Além disso, há recursos externos para entender problemas de segurança comuns:
- A OWASP Foundation fornece muitos recursos para aprender sobre as vulnerabilidades mais comuns; confira Sobre a OWASP Foundation.
- A MITRE Corporation mantém uma lista detalhada de pontos fracos comuns; confira Sobre a CWE.
3. Colaborar cedo e com frequência
Uma campanha de segurança geralmente incluirá uma URL de contato, que pode vinculá-lo ao gerente de campanha, a um fórum aberto (como uma GitHub discussão) ou a um site de recursos. Use esse espaço para fazer perguntas sobre a campanha ou alertas específicos, encontrar recursos úteis e compartilhar conhecimentos.
Para localizar a URL de contato:
- Abra a guia Security and quality do seu repositório.
- Na barra lateral esquerda, clique no nome da campanha da qual está participando.
- Na página de acompanhamento de campanha, à direita do nome do gerente de campanha, clique em .
4. Agrupar alertas estrategicamente
Enfrente alertas semelhantes juntos para criar impulso, reduzir a alternância de contexto e desenvolver uma compreensão mais profunda do problema subjacente. À medida que você ganha confiança e eficiência na resolução de um tipo específico de alerta, fica mais fácil e rápido resolver alertas subsequentes.
5. Resolver alertas com a ajuda de Copilot
Você pode aproveitar Copilot para ajudar a resolver alertas em uma campanha de segurança. Dependendo dos recursos ativados em seu repositório, você pode ter acesso a Autofixo do Copilot sugestões e Bate-papo do Copilot.
Correção automática para alertas code scanning
Se agente de nuvem Copilot estiver habilitado no repositório, você poderá selecionar um ou mais alertas no modo de exibição de campanha e atribuí-los a Copilot. agente de nuvem Copilot explora a base de código, gera correções, valida as alterações e abre uma única solicitação de pull para os alertas selecionados. Confira Como corrigir alertas em uma campanha de segurança.
Se agente de nuvem Copilot não estiver habilitado no repositório, Autofixo do Copilot é acionado automaticamente para alertas incluídos em uma campanha, de modo que uma correção é gerada para você, quando possível. Confirme a correção sugerida para resolver o alerta e verifique se a CI ainda está passando. Consulte Como corrigir alertas em uma campanha de segurança.
Bate-papo do Copilot
Você pode pedir Bate-papo do Copilot ajuda para entender a vulnerabilidade, a correção sugerida e como testar se a correção é abrangente. Para acessar Bate-papo do Copilot, navegue até https://github.com/copilot.
Como alternativa, ao exibir um alerta específico, no canto superior direito da página, clique no Bate-papo do Copilot ícone () para abrir uma janela de chat e faça Copilot perguntas sobre o alerta.
Por exemplo:
Explain how this alert introduces a vulnerability into the code.
Explain how this alert introduces a vulnerability into the code.
Se você ainda não tiver acesso por Bate-papo do Copilot meio de sua organização, poderá se inscrever em GitHub Copilot Gratuito. Confira Como começar com um plano do GitHub Copilot.