Participando de uma campanha de segurança de código

Se você recebeu alertas como parte de uma campanha de segurança, este guia explica quais são as campanhas, o que esperar e como resolver alertas efetivamente.

Quem pode usar esse recurso?

Usuários com com acesso para gravação

Organizações no GitHub Team com o GitHub Secret Protection or GitHub Code Security habilitado

Neste artigo

O que é uma campanha de segurança de código?

Uma campanha de segurança de código é um esforço focado para corrigir um grupo definido de code scanning alertas em um ou mais repositórios.

As campanhas são criadas por donos da organização ou gerentes de segurança e normalmente direcionam alertas detectados nas ramificações padrão de repositórios. Se você estiver participando de uma campanha, você será solicitado a ajudar a resolver alguns desses alertas.

Quais são os benefícios de participar de uma campanha?

Além de reduzir o risco na base de código da sua organização, os alertas em uma campanha de segurança têm vários outros benefícios em comparação com a correção de outro alerta em seu repositório.

  • Você tem um gerente de campanha na equipe de segurança para colaborar e um link de contato específico para discutir as atividades da campanha.
  • Você sabe que está corrigindo um alerta de segurança que é importante para a empresa.
  • Potencialmente, você pode ter acesso a materiais de treinamento direcionados.
  • Você não precisa solicitar uma Correção Automática do GitHub Copilot sugestão, ela já está disponível como ponto de partida.
  • Se você tiver acesso, Copilot Chat do GitHubpoderá fazer perguntas sobre o alerta e a correção sugerida.
  • Você aprimora e demonstra seus conhecimentos sobre codificação segura.

Participar de uma campanha ajuda a reduzir o risco na base de código da sua organização, ao mesmo tempo em que fortalece suas habilidades de codificação seguras.

1. Saiba mais sobre campanhas

Comece examinando atualizações e prazos de campanha para que você possa planejar seu trabalho com eficiência.

Configurações de notificação

Você receberá automaticamente atualizações por email sobre campanhas de segurança para todos os repositórios aos quais você tem permissão de gravação, para que possa se manter informado sobre atualizações relevantes.

Além disso, você receberá uma notificação se alguém atribuir a você um alerta code scanning ou secret scanning. Consulte Atribuindo alertas.

Exibir detalhes da campanha

Ao abrir a guia Security and quality para um repositório com um ou mais alertas de campanha, você pode ver o nome da campanha na barra lateral. Clique no nome da campanha para ver a lista de alertas incluídos nela, bem como informações resumidas sobre como a campanha está progredindo.

Gerado pela campanha GitHub Issues

Algumas campanhas criam automaticamente GitHub Issues para cada repositório que detalham os gerentes de campanha, a URL de contato e a data de conclusão.

Use esta questão para coordenar o trabalho, acompanhar o progresso e manter as partes interessadas alinhadas. Por exemplo, você pode usar a questão para:

  • Adicionar o problema a quadros de projetos
  • Adicionar responsáveis
  • Criar sub-problemas ou listas de tarefas

2. Construir contexto antes de aplicar correções

Sua equipe de segurança pode lhe fornecer treinamento específico antes de sua participação em uma campanha, para que você se sinta equipado para lidar com os alertas incluídos na campanha.

Se nenhum programa de treinamento formal estiver disponível, você poderá solicitar que o gerente da campanha compartilhe informações sobre:

  • Tipos de vulnerabilidades de segurança incluídas na campanha
  • Exemplos de como corrigi-los
  • Como testar as correções

Além disso, há recursos externos para entender problemas de segurança comuns:

  • A OWASP Foundation fornece muitos recursos para aprender sobre as vulnerabilidades mais comuns; confira Sobre a OWASP Foundation.
  • A MITRE Corporation mantém uma lista detalhada de pontos fracos comuns; confira Sobre a CWE.

3. Colaborar cedo e com frequência

Uma campanha de segurança geralmente incluirá uma URL de contato, que pode vinculá-lo ao gerente de campanha, a um fórum aberto (como uma GitHub discussão) ou a um site de recursos. Use esse espaço para fazer perguntas sobre a campanha ou alertas específicos, encontrar recursos úteis e compartilhar conhecimentos.

Para localizar a URL de contato:

  1. Abra a guia Security and quality do seu repositório.
  2. Na barra lateral esquerda, clique no nome da campanha da qual está participando.
  3. Na página de acompanhamento de campanha, à direita do nome do gerente de campanha, clique em .

4. Agrupar alertas estrategicamente

Enfrente alertas semelhantes juntos para criar impulso, reduzir a alternância de contexto e desenvolver uma compreensão mais profunda do problema subjacente. À medida que você ganha confiança e eficiência na resolução de um tipo específico de alerta, fica mais fácil e rápido resolver alertas subsequentes.

5. Resolver alertas com a ajuda de Copilot

Você pode aproveitar Copilot para ajudar a resolver alertas em uma campanha de segurança. Dependendo dos recursos ativados em seu repositório, você pode ter acesso a Autofixo do Copilot sugestões e Bate-papo do Copilot.

Autofixo do Copilot

          Autofixo do Copilot é acionado automaticamente para alertas que estão incluídos em uma campanha, o que significa que, sempre que possível, as correções são geradas automaticamente para você. Você pode fazer commit da correção sugerida para resolver o alerta e verificar se o teste de CI (integração contínua) para a base de código ainda está sendo aprovado. Confira [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign).

Se agente de nuvem Copilot estiver habilitado no repositório, você também poderá atribuir alertas a Copilot. Confira Como corrigir alertas em uma campanha de segurança.

Ao atribuir vários alertas, agente de nuvem Copilot aplicará as correções e iterará no código para validar as alterações, verificar se há novos problemas de segurança e garantir que não haja conflitos de mesclagem.

Bate-papo do Copilot

Você pode pedir Bate-papo do Copilot ajuda para entender a vulnerabilidade, a correção sugerida e como testar se a correção é abrangente. Para acessar Bate-papo do Copilot, navegue até https://github.com/copilot.

Como alternativa, ao exibir um alerta específico, no canto superior direito da página, clique no Bate-papo do Copilot ícone () para abrir uma janela de chat e faça Copilot perguntas sobre o alerta.

Por exemplo:

Text

Explain how this alert introduces a vulnerability into the code.

Se você ainda não tiver acesso por Bate-papo do Copilot meio de sua organização, poderá se inscrever em GitHub Copilot Gratuito. Confira Como começar com um plano do GitHub Copilot.

Próximas etapas