Création et gestion de campagnes de sécurité

Vous pouvez gérer les campagnes de sécurité directement à partir de la vue d’ensemble de la sécurité de votre organisation.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de l’organisation, gestionnaires de sécurité et membres de l’organisation avec le rôle d’administrateur

Organisations sur GitHub Team ou GitHub Enterprise Cloud avec GitHub Secret Protection or GitHub Code Security activé

Dans cet article

Remarque

Les campagnes pour les alertes secret scanning sont actuellement en phase préversion publique et sont susceptibles d'être modifiées.

Création d’une campagne de sécurité

Les campagnes de sécurité sont créées et gérées à partir de l’onglet Security and quality de votre organisation.

Vous avez le choix entre deux alertes à inclure dans la campagne :

  • Modèles de campagne : contiennent des filtres pour les sélections d’alertes les plus courantes. Pour les campagnes de code, elles incluent également l’exigence que GitHub Copilot fixation automatique soit pris en charge pour tous les types d’alertes inclus (autrement dit, autofix:supported).
  • Filtres personnalisés : créer une campagne à l’aide de filtres personnalisés vous permet de définir vos propres critères de sélection des alertes pour la campagne, et d’adapter celle-ci aux besoins spécifiques de votre organisation.

En outre, vous pouvez utiliser l’API REST pour créer et interagir avec des campagnes plus efficacement et à grande échelle. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les campagnes de sécurité ».

Créer une campagne

  1. Sur GitHub, accédez à la page principale de l’organisation.
  2. Sous le nom de votre organisation, cliquez sur l’onglet Security and quality .
  3. Dans la barre latérale gauche, cliquez sur Campagnes.
  4. Cliquez sur Créer une campagne , puis sélectionnez l’une des options suivantes :
    • Cliquez sur À partir du modèle, puis sélectionnez un modèle de campagne ou secrets**** prédéfini dans la liste.
    • Cliquez sur À partir des filtres de balayage de code ou À partir de filtres de numérisation secrets, puis ajoutez des filtres pour définir un sous-ensemble d'alertes pour votre campagne. Consultez Exemples de filtres utiles.
  5. Passez en revue l’ensemble d’alertes à inclure dans la campagne et ajustez les filtres si nécessaire. Assurez-vous d'avoir choisi 1 000 alertes ou moins.
  6. Lorsque vous êtes satisfait de l’étendue de la campagne, cliquez sur Enregistrer sous, puis choisissez de créer le brouillon d'une campagne ou de passer directement à la finalisation des détails de la campagne avant de la publier :
    • Si vous envisagez d’examiner l’étendue et les détails de la campagne avant le lancement ou de demander des commentaires sur l’implémentation de la campagne, cliquez sur Brouillon de campagne.
    • Si vous envisagez de publier la campagne et que vous n’avez pas besoin d’une phase de révision, cliquez sur Publier la campagne.
  7. Si vous avez choisi de créer le brouillon d'une campagne, vous avez la possibilité de modifier, d'enregistrer et de revoir les détails de la campagne :
    • Modifiez le « Nom de la campagne » et la « Brève description » pour répondre aux besoins de votre campagne et lier toutes les ressources qui prennent en charge la campagne.
    • Définissez une « date d'échéance de la campagne » et sélectionnez un ou plusieurs « gestionnaires de campagne » comme contacts principaux pour la campagne. Les responsables de campagne doivent être des utilisateurs ou des équipes qui sont propriétaires ou responsables de la sécurité dans l'organisation.
    • Si vous le souhaitez, fournissez un « lien de contact », par exemple un lien vers un GitHub Discussions ou un autre canal de communication, pour contacter les responsables de campagne.
    • Cliquez sur Enregistrer le brouillon.
    • Lorsque vous êtes prêt à publier la campagne, dans le coin supérieur droit, cliquez sur Passer en revue et publier.
  8. Dans la page « Publier la campagne », passez en revue ou modifiez les détails de la campagne :
    • Nom de la campagne
    • Brève description
    • Date d’échéance
    • Managers de campagne
    • Lien de contact
  9. Si vous le souhaitez, pour les campagnes « Code », pour créer un problème de campagne dans chaque dépôt inclus dans la campagne, dans la page « Publier la campagne », sous « Automatisations », cochez la case en regard de « Créer des problèmes pour les référentiels NUMBER dans cette campagne ».
  10. Cliquez sur Publier la campagne.

La campagne de sécurité est créée et la page de vue d’ensemble de la campagne s’affiche.

Avez-vous créé une campagne de sécurité pour votre organisation ?

          <a href="https://docs.github.io/success-test/yes.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline">
          <span>Yes</span></a><a href="https://docs.github.io/success-test/no.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline"><span>No</span></a>

Exemples de filtres utiles

Tous les filtres de modèle utilisent is:open pour inclure uniquement les alertes qui doivent être résolues. Pour code scanning les alertes, elles doivent également être présentes dans la branche par défaut.

Filtres par défaut supplémentaires pour les alertes code scanning.

  • autofilter:true inclut uniquement les alertes qui apparaissent dans le code de l’application.
  • autofix:supported inclut uniquement les alertes qui concernent les règles prises en charge pour GitHub Copilot fixation automatique.

Pour plus d’informations sur les alertes de filtrage, consultez Exécution d’une campagne de sécurité pour corriger les alertes à grande échelle et Filtrage des alertes dans la vue d’ensemble de la sécurité.

          Code scanning filtres d’alerte

En plus des filtres de base, vous souhaiterez généralement ajouter un filtre pour limiter les résultats à un nom de règle, une gravité ou une balise spécifique.

  • is:open autofilter:true autofix:supported rule:java/log-injection pour afficher uniquement les alertes pour l’injection de journaux dans le code Java. Consultez « Requêtes pour l’analyse CodeQL ».
  • is:open autofilter:true autofix:supported tag:external/cwe/cwe-117pour afficher uniquement les alertes pour « CWE 117 : neutralisation de sortie incorrecte pour les journaux ». Cela inclut l'injection de logs dans Java et d'autres langages de programmation.
  • is:open autofilter:true autofix:supported severity:critical pour afficher uniquement les alertes avec une gravité de sécurité critique.

          Secret scanning filtres d’alerte

En plus des filtres de base, vous souhaiterez généralement ajouter un filtre pour limiter les résultats à un fournisseur spécifique, à un type de secret ou aux secrets qui ont contourné la protection push (comptes d'entreprise uniquement).

Lancement d’une campagne de sécurité

Lorsque vous créez une campagne de code, toutes les alertes sont automatiquement envoyées à GitHub Copilot fixation automatique pour être traitées en fonction des capacités autorisées. Cela garantit que les suggestions d’alertes trouvées dans les demandes de tirage ne sont pas retardées par une nouvelle campagne. Dans la plupart des cas, vous devez trouver que toutes les suggestions qui peuvent être créées sont prêtes dans un délai d’une heure. Aux moments chargés de la journée, ou pour des alertes particulièrement complexes, il faudra plus de temps.

Comment les développeurs savent qu’une campagne de sécurité a commencé

La nouvelle campagne est affichée dans la barre latérale de l’onglet Security and quality pour chaque dépôt inclus.

  • Campagnes de code : toute personne disposant d'un accès en écriture à un référentiel inclus dans la campagne est informée.
  • Campagnes secrètes : toute personne ayant accès à l’affichage de la liste d’alertes pour un référentiel inclus dans la campagne est avertie.

Conseil

Vous pouvez attribuer une alerte de campagne à toute personne ayant accès en écriture au référentiel. Consultez Affectation d’alertes.

Pour plus d’informations sur l’expérience développeur, consultez Résolution des alertes dans une campagne de sécurité.

Comment augmenter l’engagement avec la campagne de sécurité

La meilleure façon d’augmenter l’engagement avec une campagne consiste à la rendre publique aux équipes avec lesquelles vous souhaitez collaborer pour corriger les alertes. Par exemple, vous pouvez travailler avec des responsables d’ingénierie pour choisir une période de développement plus silencieuse pour l'exécution d'une série de campagnes de sécurité, chacune axée sur un type d’alerte différent, avec des sessions de formation associées. Pour avoir plus d’idées, consultez Exécution d’une campagne de sécurité pour corriger les alertes à grande échelle.

Modification des détails de la campagne de sécurité

Vous pouvez modifier le nom, la description, la date d’échéance et le manager d’une campagne.

  1. Sur GitHub, accédez à la page principale de l’organisation.
  2. Sous le nom de votre organisation, cliquez sur l’onglet Security and quality .
  3. Dans la barre latérale gauche, cliquez sur Campagnes.
  4. À partir de la liste des campagnes, cliquez sur le nom de la campagne pour afficher la vue de suivi des campagnes.
  5. Dans la ligne de titre de la campagne, cliquez et sélectionnez Modifier la campagne.
  6. Dans la boîte de dialogue « Modifier la campagne », apportez vos modifications, puis cliquez sur Enregistrer les modifications.

Les modifications prennent effet immédiatement.

Fermeture, ouverture et suppression de campagnes de sécurité

Il existe une limite de 10 campagnes actives. Quand une campagne est terminée ou si vous souhaitez la suspendre, vous devez la fermer. Vous pouvez toujours afficher toutes les campagnes fermées dans la liste des campagnes fermées, et vous pouvez rouvrir une campagne fermée.

Si vous n’avez pas besoin de conserver la campagne ou ses données, vous pouvez la supprimer.

Fermer une campagne

  1. Sur GitHub, accédez à la page principale de l’organisation.
  2. Sous le nom de votre organisation, cliquez sur l’onglet Security and quality .
  3. Dans la barre latérale gauche, cliquez sur Campagnes.
  4. À droite de la campagne à fermer, cliquez sur , puis sélectionnez Fermer la campagne.

Rouvrir une campagne fermée

  1. Sur GitHub, accédez à la page principale de l’organisation.
  2. Sous le nom de votre organisation, cliquez sur l’onglet Security and quality .
  3. Dans la barre latérale gauche, cliquez sur Campagnes.
  4. Au-dessus de la liste des campagnes, cliquez sur Fermées pour afficher la liste des campagnes fermées.
  5. À droite de la campagne que vous souhaitez rouvrir, cliquez sur , puis sélectionnez Rouvrir la campagne.

Supprimer une campagne

  1. Sur GitHub, accédez à la page principale de l’organisation.
  2. Sous le nom de votre organisation, cliquez sur l’onglet Security and quality .
  3. Dans la barre latérale gauche, cliquez sur Campagnes.
  4. À droite de la campagne que vous souhaitez supprimer, cliquez sur , puis sélectionnez Supprimer la campagne.

Étapes suivantes