Suchen vorhandener Sicherheitsrisiken im Code

Obwohl die meisten neuen Sicherheitsrisiken von vielen Entwicklern als „Allgemeinwissen“ betrachtet werden, sind sie beispielsweise auf Cross-Site-Scripting (XSS), Einschleusung von SQL-Befehlen und websiteübergreifende Anforderungsfälschung (CSRF) zurückzuführen. Diese Sicherheitsrisiken können mit sicheren Programmiermethoden wie parametrisierten Abfragen, Eingabeüberprüfung und Vermeiden hartcodierter vertraulicher Daten verringert werden. GitHub Copilot kann dabei helfen, diese Probleme zu erkennen und zu beheben.

Beispielszenario

Der folgende JavaScript-Code weist ein potenzielles XSS-Sicherheitsrisiko auf. Dies könnte ausgenutzt werden, wenn der Parameter name nicht richtig bereinigt wird, bevor er auf der Seite angezeigt wird.

function displayName(name) {
  const nameElement = document.getElementById('name-display');
  nameElement.innerHTML = `Showing results for "${name}"`
}

Beispielaufforderung

Sie können Copilot-Chat bitten, Code auf häufige Sicherheitsschwachstellen zu analysieren und Erklärungen sowie Korrekturen für die dabei gefundenen Probleme zu liefern.

Analyze this code for potential security vulnerabilities and suggest fixes.

function displayName(name) {
  const nameElement = document.getElementById('name-display');
  nameElement.innerHTML = `Showing results for "${name}"`
}

Analyze this code for potential security vulnerabilities and suggest fixes.

Analyze this code for potential security vulnerabilities and suggest fixes.

Beispielantwort

Copilot antwortet mit einer Erläuterung der Sicherheitsanfälligkeit und schlägt Änderungen am Code vor, um ihn zu beheben.

function displayName(name) {
  const nameElement = document.getElementById('name-display');
  nameElement.textContent = `Showing results for "${name}"`;
}

Weiterführende Lektüre

• Prompt-Engineering für GitHub Copilot Chat
• Bewährte Methoden für die Verwendung von GitHub Copilot
• Informationen zu Codescans