Criando e gerenciando campanhas de segurança

Observação

Campanhas para alertas do secret scanning estão em versão prévia pública e estão sujeitas a alterações.

Como criar uma campanha de segurança

As campanhas de segurança são criadas e gerenciadas na guia Security and quality para sua organização.

Escolha os alertas que deseja incluir na campanha usando:

Modelos de campanha: os modelos de campanha contêm filtros para as seleções de alerta mais comuns. Para campanhas de código, elas também incluem o requisito de que Correção Automática do GitHub Copilot seja oferecido suporte para todos os tipos de alerta incluídos (ou seja, autofix:supported).
Filtros personalizados: criar uma campanha usando filtros personalizados permite que você defina seus próprios critérios para selecionar alertas para a campanha e a adapte às necessidades específicas da sua organização.

Além disso, você pode usar a API REST para criar e interagir com campanhas de maneira mais eficiente e em escala. Para saber mais, confira Endpoints de API REST para campanhas de segurança.

Criar uma campanha

Em GitHub, acesse a página principal da organização.
No nome da sua organização, clique na Security and quality aba.
Na barra lateral esquerda, clique em Campaigns.
Clique em Criar campanha e selecione uma das seguintes opções:
- Clique em Modelo e selecione um modelo de campanha de ou Segredos**** predefinido na lista.
- Clique em From code scanning filters ou From secret scanning filters e, em seguida, adicione filtros para definir um subconjunto de alertas para a campanha. Confira Exemplos de filtros úteis.
Examine o conjunto de alertas a serem incluídos na campanha e ajuste os filtros conforme necessário. Certifique-se de escolher 1.000 alertas ou menos.
Quando estiver satisfeito com o escopo da campanha, clique em Save as, escolha se deseja criar uma campanha de rascunho ou finalize os detalhes da campanha antes de publicá-la:
- Se você planeja examinar o escopo e os detalhes da campanha antes do lançamento ou buscar comentários sobre a implementação da campanha, clique em Rascunho da campanha.
- Se você pretende publicar a campanha e não precisa de uma fase de revisão, clique em Publicar campanha.
Opcionalmente, se você optou por criar uma campanha de rascunho, editar, salvar e revisar os detalhes da campanha:
- Edite o “Nome da campanha” e a “Descrição curta” de acordo com as necessidades da campanha e para vinculá-los a todos os recursos que dão suporte à campanha.
- Defina uma "Data limite da campanha" e selecione um ou mais "Gestores de campanha" como os principais contatos da campanha. Os gestores de campanha devem ser usuários ou equipes que sejam proprietários ou gestores de segurança na organização.
- Opcionalmente, forneça um "Link de contato", por exemplo, um link para um GitHub Discussions ou outro canal de comunicação para entrar em contato com os gerentes de campanha.
- Clique em Salvar rascunho.
- Quando estiver pronto para publicar a campanha, no canto superior direito, clique em Review and publish.
Na página "Publish campaign", revise ou edite os detalhes da campanha:
- Nome da campanha
- Descrição curta
- Data de conclusão
- Gerentes da campanha
- Link de contato
Opcionalmente, para campanhas de "Código", para criar um problema de campanha em cada repositório incluído na campanha, na página "Publicar campanha", em "Automações", marque a caixa de seleção ao lado de "Criar problemas para repositórios NUMBER nesta campanha".
Clique em Publish campaign.

A campanha de segurança será criada e a página de visão geral da campanha será exibida.

Você criou com êxito uma campanha de segurança para a organização?

          <a href="https://docs.github.io/success-test/yes.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline">
          <span>Sim</span></a><a href="https://docs.github.io/success-test/no.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline"><span>Não</span></a>

Exemplos de filtros úteis

Todos os filtros de modelo usam is:open para incluir apenas alertas que precisam ser resolvidos. Para alertas code scanning, eles devem estar presentes também no branch padrão.

Filtros padrão adicionais para alertas code scanning:

autofilter:true Inclui apenas alertas que parecem estar no código do aplicativo.
autofix:supported inclui apenas alertas que são para regras para as quais há suporte Correção Automática do GitHub Copilot.

Para obter mais informações sobre como filtrar alertas, confira Executando uma campanha de segurança para corrigir alertas em escala e Visão geral da filtragem de alertas na segurança.

          Code scanning filtros de alerta

Além dos filtros principais, o ideal é adicionar um filtro para limitar os resultados a uma severidade, uma tag ou um nome de regra específico.

is:open autofilter:true autofix:supported rule:java/log-injection para mostrar apenas alertas para injeção de log no código Java. Confira Consultas para análise de CodeQL.
is:open autofilter:true autofix:supported tag:external/cwe/cwe-117 exibir apenas alertas para "CWE 117: neutralização de saída inadequada para logs". Isso inclui a injeção de log em Java e em outros idiomas.
is:open autofilter:true autofix:supported severity:critical exibir apenas alertas com nível de segurança crítico.

          Secret scanning filtros de alerta

Além dos filtros principais, o ideal é adicionar um filtro para limitar os resultados a um provedor, tipo de segredo ou segredos específicos que ignoraram a proteção por push (somente contas Enterprise).

is:open provider:azure para mostrar apenas alertas para o provedor de token Azure.
is:open secret-type:azure_ai_services_key,azure_cognitive_services_key exibir alertas apenas para os tokens "azure_ai_services_key" e "azure_cognitive_services_key". Confira Padrões de varredura de segredos com suporte.
is:open props.BusinessPriority:Urgent exibir alertas apenas para repositórios onde a propriedade personalizada "BusinessPriority" tem o valor "Urgente". Confira Como gerenciar propriedades personalizadas para repositórios na sua organização.

Como iniciar uma campanha de segurança

Quando você cria uma campanha de código, todos os alertas são enviados automaticamente para Correção Automática do GitHub Copilot serem processados conforme a capacidade permite. Isso garante que as sugestões de alertas encontrados em pull requests não sejam atrasadas por uma nova campanha. Na maioria dos casos, você verá que todas as sugestões que podem ser criadas estarão prontas em uma hora. Em horários de pico ou para alertas particularmente complexos, o processo poderá demorar mais.

Como os desenvolvedores sabem que uma campanha de segurança foi iniciada

A nova campanha é mostrada na barra lateral da Security and quality aba para cada repositório incluído.

Campanhas de código: qualquer pessoa com acesso de gravação a um repositório incluído na campanha é notificada.
Campanhas secretas: qualquer pessoa com acesso à lista de alertas de um repositório incluído na campanha será notificada.

Dica

Você pode atribuir um alerta de campanha a qualquer pessoa com acesso de gravação ao repositório; confira Atribuindo alertas.

Para obter mais informações sobre a experiência do desenvolvedor, confira Como corrigir alertas em uma campanha de segurança.

Como aumentar o engajamento com a campanha de segurança

A melhor maneira de aumentar o engajamento com uma campanha é divulgá-la para as equipes com as quais você deseja colaborar para solucionar os alertas. Por exemplo, você pode trabalhar com os gerentes de engenharia para escolher um período de desenvolvimento mais tranquilo para executar uma série de campanhas de segurança, cada uma focada em um tipo diferente de alerta, com sessões de treinamento associadas. Para ter mais ideias, confira Executando uma campanha de segurança para corrigir alertas em escala.

Como editar os detalhes da campanha de segurança

Você pode editar o nome, a descrição, a data de conclusão e o gerente de uma campanha.

Em GitHub, acesse a página principal da organização.
No nome da sua organização, clique na Security and quality aba.
Na barra lateral esquerda, clique em Campaigns.
Na lista de campanhas, clique no nome da campanha para mostrar a exibição de acompanhamento dela.
Na linha de título da campanha, clique e selecione Editar campanha.
Na caixa de diálogo “Editar campanha”, faça as alterações e selecione Salvar alterações.

As alterações serão feitas imediatamente.

Fechando, reabrindo e excluindo campanhas de segurança

Há um limite de dez campanhas ativas. Quando uma campanha for concluída ou se você quiser pausá-la, será preciso fechá-la. Você ainda pode exibir todas as campanhas fechadas na lista de campanhas "Closed", e pode reabrir uma campanha fechada.

Se você não precisar reter a campanha ou os dados dela, poderá excluí-la.

Fechar uma campanha

Em GitHub, acesse a página principal da organização.
No nome da sua organização, clique na Security and quality aba.
Na barra lateral esquerda, clique em Campaigns.
À direita da campanha que você deseja fechar, clique e selecione Fechar campanha.

Reabrir um campanha fechada

Em GitHub, acesse a página principal da organização.
No nome da sua organização, clique na Security and quality aba.
Na barra lateral esquerda, clique em Campaigns.
Acima da lista de campanhas, clique em Closed para exibir a lista de campanhas fechadas.
À direita da campanha que você deseja reabrir, clique em , em seguida, selecione Reabrir campanha.

Excluir uma campanha

Em GitHub, acesse a página principal da organização.
No nome da sua organização, clique na Security and quality aba.
Na barra lateral esquerda, clique em Campaigns.
À direita da campanha que você deseja excluir, clique e selecione Excluir campanha.

Próximas etapas

Como acompanhar as campanhas de segurança