Participar en una campaña de seguridad de código

Si se le han asignado alertas como parte de una campaña de seguridad, esta guía explica qué campañas son, qué esperar y cómo resolver alertas de forma eficaz.

¿Quién puede utilizar esta característica?

Usuarios con acceso de escritura

Organizaciones en GitHub Team o GitHub Enterprise Cloud con GitHub Secret Protection or GitHub Code Security habilitado

En este artículo

¿Qué es una campaña de seguridad de código?

Una campaña de seguridad de código es un esfuerzo centrado en corregir un grupo definido de code scanning alertas en uno o varios repositorios.

Las campañas las crean los propietarios de la organización o los administradores de seguridad y suelen tener como destino las alertas detectadas en las ramas predeterminadas de los repositorios. Si participa en una campaña, se le ha pedido que ayude a resolver algunas de estas alertas.

¿Cuáles son las ventajas de participar en una campaña?

Además de reducir el riesgo en el código base de la organización, las alertas de una campaña de seguridad tienen otras ventajas en comparación con la corrección de otra alerta en el repositorio.

  • Tiene un administrador de campaña en el equipo de seguridad con el que colaborar y un vínculo de contacto específico para analizar las actividades de la campaña.
  • Sabe que está corrigiendo una alerta de seguridad que es importante para la empresa.
  • Potencialmente, es posible que tenga acceso a materiales de entrenamiento específicos.
  • No es necesario solicitar una Corrección automática de GitHub Copilot sugerencia, ya está disponible como punto de partida.
  • Si tiene acceso a Copilot Chat de GitHub, puede hacer preguntas sobre la alerta y la corrección sugerida.
  • Está mejorando y demostrando sus conocimientos sobre la creación de código seguro.

La participación en una campaña ayuda a reducir el riesgo en el código base de la organización al tiempo que refuerza sus aptitudes de codificación seguras.

1. Más información sobre las campañas

Empiece por revisar las actualizaciones y fechas límite de la campaña para que pueda planear su trabajo de forma eficaz.

Configuración de notificación

Recibirás automáticamente actualizaciones por correo electrónico sobre las campañas de seguridad de los repositorios a los que tengas acceso de escritura, para que puedas mantenerte informado sobre las actualizaciones pertinentes.

Además, recibirá una notificación si alguien le asigna un code scanning o una alerta secret scanning, ver Asignación de alertas.

Visualización de los detalles de la campaña

Al abrir la Security and quality pestaña de un repositorio con una o varias alertas de campaña, puede ver el nombre de la campaña en la barra lateral de la vista. Haga clic en el nombre de la campaña para ver la lista de alertas que incluye e información de resumen sobre cómo progresa.

Generado por la campaña GitHub Issues

Algunas campañas crean automáticamente GitHub Issues para cada repositorio en la que se detallan los administradores de campaña, el URL de contacto y la fecha de vencimiento.

Use este problema para coordinar el trabajo, realizar un seguimiento del progreso y mantener las partes interesadas alineadas. Por ejemplo, puede usar el problema para:

  • Adición de la incidencia a los paneles del proyecto
  • Agregar asignados
  • Crear subtareas o listas de tareas

2. Construir el contexto antes de aplicar correcciones

Su equipo de seguridad puede proporcionarle formación específica antes de participar en una campaña, para que se sienta equipado para abordar las alertas incluidas en la campaña.

Si no hay ningún programa de entrenamiento formal disponible, puede solicitar que el administrador de la campaña comparta información sobre lo siguiente:

  • Tipos de vulnerabilidades de seguridad incluidas en la campaña
  • Ejemplos de cómo corregirlas
  • Cómo probar las correcciones

Además, hay recursos externos para comprender los problemas comunes de seguridad:

  • La OWASP Foundation proporciona muchos recursos para obtener información sobre las vulnerabilidades más comunes, consulte Acerca de OWASP Foundation.
  • La MITRE Corporation mantiene una lista detallada de puntos débiles comunes, consulte Acerca de CWE.

3. Colaborar temprano y a menudo

Por lo general, una campaña de seguridad incluirá una dirección URL de contacto, que puede vincularle al administrador de campañas, un foro abierto (como una GitHub discusión) o un sitio web de recursos. Debe usar este espacio para formular preguntas sobre la campaña o alertas específicas, encontrar recursos útiles y compartir conocimientos.

Para buscar la dirección URL de contacto:

  1. Abra la Security and quality pestaña del repositorio.
  2. En la barra lateral izquierda, haz clic en el nombre de la campaña en la que participes.
  3. En la página de seguimiento de campañas, a la derecha del nombre del administrador de campañas, haga clic en .

4. Agrupar alertas estratégicamente

Abordar alertas similares juntas para crear impulso, reducir el cambio de contexto y desarrollar una comprensión más profunda del problema subyacente. A medida que adquiera confianza y eficacia en la resolución de un tipo específico de alerta, le resultará más fácil y rápido resolver las alertas posteriores.

5. Resolución de alertas con la ayuda de Copilot

Puede aprovechar Copilot para ayudar a resolver alertas en una campaña de seguridad. En función de las características habilitadas en el repositorio, podría tener acceso a Autofijo de Copilot sugerencias y Chat de Copiloto.

Autofijo de Copilot

          Autofijo de Copilot se activa automáticamente para alertas incluidas en una campaña, lo que significa que, siempre que sea posible, las correcciones se generan de manera automática. Puede confirmar la corrección sugerida para resolver la alerta y, a continuación, verificar que las pruebas de integración continua (CI) para la base de código siguen pasando. Consulta [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign).

Si agente en la nube de Copilot está habilitado en el repositorio, también puede asignar alertas a Copilot. Consulta Corrección de alertas de una campaña de seguridad.

Al asignar varias alertas, agente en la nube de Copilot aplicará las correcciones e iterará sobre el código para validar los cambios, comprobar nuevos problemas de seguridad y asegurar la ausencia de conflictos de combinación.

Chat de Copiloto

Puede solicitar Chat de Copiloto ayuda para comprender la vulnerabilidad, la corrección sugerida y cómo probar que la corrección es completa. Para acceder a Chat de Copiloto, vaya a https://github.com/copilot.

Como alternativa, al ver una alerta específica, en la esquina superior derecha de la página, haga clic en el Chat de Copiloto icono () para abrir una ventana de chat y formular Copilot preguntas sobre la alerta.

Por ejemplo:

Text

Explain how this alert introduces a vulnerability into the code.

Si aún no tiene acceso a Chat de Copiloto a través de su organización o empresa, puede registrarse en GitHub Copilot gratis. Consulta Introducción a un plan de GitHub Copilot.

Pasos siguientes