Teilnehmen an einer Codesicherheitskampagne

Wenn Ihnen Warnungen als Teil einer Sicherheitskampagne zugewiesen wurden, wird in diesem Leitfaden erläutert, was Kampagnen sind, was Sie erwarten und wie Sie Warnungen effektiv beheben können.

Wer kann dieses Feature verwenden?

Benutzer*innen mit Schreibzugriff

Organizations on GitHub Team with GitHub Secret Protection or GitHub Code Security enabled

In diesem Artikel

Was ist eine Codesicherheitskampagne?

Eine Codesicherheitskampagne ist ein fokussierter Versuch, eine definierte Gruppe von code scanning Warnungen in einem oder mehreren Repositorys zu beheben.

Kampagnen werden von Organisationsbesitzern oder Sicherheitsmanagern erstellt und behandeln in der Regel Warnungen, die in den Standardverzweigungen von Repositorys erkannt wurden. Wenn Sie an einer Kampagne teilnehmen, wurden Sie aufgefordert, einige dieser Warnungen zu beheben.

Welche Vorteile hat die Teilnahme an einer Kampagne?

Neben der Reduzierung des Risikos in der Codebasis Ihrer Organisation haben Warnungen in einer Sicherheitskampagne im Vergleich zum Beheben einer anderen Warnung in Ihrem Repository mehrere weitere Vorteile.

  • Es gibt einen Kampagnenmanager im Sicherheitsteam, mit dem du zusammenarbeiten kannst, und einen bestimmten Kontaktlink zum Diskutieren von Kampagnenaktivitäten.
  • Dir ist bewusst, dass du eine Sicherheitswarnung behebst, die für das Unternehmen wichtig ist.
  • Möglicherweise haben Sie Zugriff auf gezielte Schulungsmaterialien.
  • Sie müssen keinen Vorschlag anfordern GitHub Copilot Autofix , es ist bereits als Ausgangspunkt verfügbar.
  • Wenn Sie Zugriff haben GitHub Copilot Chat, können Sie Fragen zu der Warnung und der vorgeschlagenen Lösung stellen.
  • Du bildest dich fort und demonstrierst dein Wissen über das Schreiben sicheren Codes.

Die Teilnahme an einer Kampagne trägt dazu bei, das Risiko in der Codebasis Ihrer Organisation zu reduzieren und gleichzeitig Ihre sicheren Codierungsfähigkeiten zu stärken.

1. Erfahren Sie mehr über Kampagnen

Beginnen Sie mit der Überprüfung von Kampagnenaktualisierungen und Stichtagen, damit Sie Ihre Arbeit effektiv planen können.

Benachrichtigungseinstellungen

Du erhältst automatisch E-Mail-Updates zu Sicherheitskampagnen für alle Repositorys, auf die du Schreibzugriff hast, damit du über relevante Updates auf dem Laufenden bleiben kannst.

Darüber hinaus erhalten Sie eine Benachrichtigung, wenn Ihnen jemand eine code scanning oder eine secret scanning Warnung zuweist. Siehe Zuweisen von Warnungen.

Kampagnendetails anzeigen

Wenn Sie die Security and quality Registerkarte für ein Repository mit mindestens einer Kampagnenbenachrichtigung öffnen, wird der Kampagnenname in der Randleiste der Ansicht angezeigt. Klicke auf den Kampagnennamen, um die Liste der Warnungen in der Kampagne und zusammenfassende Informationen dazu anzuzeigen, wie die Kampagne voranschreitet.

Kampagnengenerierte GitHub Issues

Einige Kampagnen erstellen GitHub Issues automatisch für jedes Repository, das die Kampagnenmanager, die Kontakt-URL und das Fälligkeitsdatum enthält.

Verwenden Sie dieses Thema, um die Arbeit zu koordinieren, den Fortschritt nachzuverfolgen und die Projektbeteiligten auf dem Laufenden zu halten. Sie können das Problem beispielsweise für Folgendes verwenden:

  • Hinzufügen des Problems zu Projektboards
  • Zuweisungen hinzufügen
  • Erstellen von Unterproblemen oder Aufgabenlisten

2. Erstellen des Kontexts vor dem Anwenden von Fixes

Dein Sicherheitsteam kann dir vor der Teilnahme an einer Kampagne eine gezielte Schulung anbieten, um dich auf den Umgang mit den in der Kampagne enthaltenen Warnungen vorzubereiten.

Wenn kein formelles Schulungsprogramm verfügbar ist, kannst du anfordern, dass das Kampagnenmanagement folgende Informationen teilt:

  • Typen von Sicherheitsrisiken, die in der Kampagne vorkommen
  • Beispiele für deren Behebung
  • Vorgehensweise beim Testen der Fixes

Darüber hinaus gibt es externe Ressourcen für allgemeine Sicherheitsissues:

  • Die OWASP Foundation bietet viele Ressourcen mit Informationen zu den häufigsten Sicherheitsrisiken unter About the OWASP Foundation.
  • Die MITRE Corporation führt eine detaillierte Liste allgemeiner Schwachstellen, siehe About CWE.

3. Frühzeitig und häufig zusammenarbeiten

Eine Sicherheitskampagne enthält in der Regel eine Kontakt-URL, die Sie mit dem Kampagnenmanager, einem offenen Forum (z. B. einer GitHub Diskussion) oder einer Website mit Ressourcen verknüpfen kann. Verwende diesen Bereich, um Fragen zu der Kampagne oder bestimmten Warnungen zu stellen, hilfreiche Ressourcen zu finden und Wissen zu teilen.

So suchst du die Kontakt-URL:

  1. Öffnen Sie die Security and quality Registerkarte für Ihr Repository.
  2. Klicke auf der linken Randleiste auf den Namen der Kampagne, an der du teilnimmst.
  3. Klicken Sie auf der Seite "Kampagnenverfolgung" rechts neben dem Namen des Kampagnenmanagers auf .

4. Warnungen strategisch gruppieren

Lösen Sie ähnliche Warnungen zusammen, um Dynamik zu schaffen, den Kontextwechsel zu reduzieren und ein tieferes Verständnis des zugrunde liegenden Problems zu entwickeln. Sobald du beim Lösen bestimmter Arten von Warnungen sicherer und erfolgreicher geworden bist, kannst du auch andere Warnungen einfacher und schneller lösen.

5. Lösen von Warnungen mit Hilfe von Copilot

Sie können Copilot nutzen, um Warnungen in einer Sicherheitskampagne zu beheben. Abhängig von den in Ihrem Repository aktivierten Features haben Sie möglicherweise Zugriff auf Copilot Autofix Vorschläge und Copilot-Chat.

Copilot Autofix

          Copilot Autofix wird automatisch für Warnungen ausgelöst, die in einer Kampagne enthalten sind. Das bedeutet, dass, wo möglich, Korrekturen automatisch für Sie generiert werden. Du kannst den vorgeschlagenen Fix übernehmen, um die Warnung zu beheben und dann überprüfen, ob die kontinuierlichen Integrationstests (CI) für den Code noch funktionieren. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign).

Wenn Copilot-Cloud-Agent im Repository aktiviert ist, können Sie auch Benachrichtigungen Copilotzuweisen. Weitere Informationen findest du unter Beheben von Warnungen in einer Sicherheitskampagne.

Indem mehrere Benachrichtigungen zugewiesen werden, wendet Copilot-Cloud-Agent die Fixes an und durchläuft den Code, um die Änderungen zu validieren, nach neuen Sicherheitsproblemen zu suchen und sicherzustellen, dass keine Zusammenführungskonflikte auftreten.

Copilot-Chat

Sie können Copilot-Chat um Hilfe bitten, um das Verständnis der Sicherheitsanfälligkeit, der vorgeschlagenen Behebung und wie Sie testen, ob die Behebung umfassend ist, zu erhalten. Um darauf zuzugreifen Copilot-Chat, navigieren Sie zu https://github.com/copilot.

Alternativ können Sie beim Anzeigen einer bestimmten Benachrichtigung in der oberen rechten Ecke der Seite auf das Copilot-Chat Symbol () klicken, um ein Chatfenster zu öffnen und Fragen zur Warnung zu stellen Copilot .

Beispiel:

Text

Explain how this alert introduces a vulnerability into the code.

Wenn Sie noch nicht über Ihre Organisation Copilot-Chat oder Ihr Unternehmen, können Sie sich anmeldenGitHub Copilot Kostenlos. Weitere Informationen findest du unter Erste Schritte mit einem GitHub Copilot Plan.

Nächste Schritte

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign)