Priorización de alertas de análisis de código y Dependabot mediante el contexto de producción

Centre la corrección en el riesgo real, enfocándose en las alertas Dependabot y code scanning en los artefactos desplegados en producción, utilizando metadatos de sistemas externos e integraciones como Dynatrace, JFrog Artifactory, Microsoft Defender for Cloud, o sus propios flujos de trabajo de CI/CD.

En este artículo

Los administradores de seguridad de aplicaciones (AppSec) suelen estar abrumados por un gran volumen de alertas, muchas de las cuales pueden no representar un riesgo real porque el código afectado nunca llega a producción. Al asociar el contexto de producción a las alertas, puedes filtrar y priorizar las vulnerabilidades que afectan a los artefactos realmente aprobados para entornos de producción. Esto permite al equipo centrar los esfuerzos de corrección en las vulnerabilidades más importantes, lo que reduce las alertas irrelevantes y mejora la posición de seguridad.

1. Asociación de artefactos con contexto de producción

          GitHub's linked artifacts page le permite proporcionar contexto de producción para las compilaciones de su empresa mediante la API REST o una integración de partners. Después, Teams puede usar este contexto para priorizar Dependabot y code scanning alertas. Para más información, consulta [AUTOTITLE](/code-security/concepts/supply-chain-security/linked-artifacts).

Para proporcionar contexto de producción, debe configurar el sistema para:

  • Actualice los registros de almacenamiento en linked artifacts page cada vez que se promueve un artefacto a un repositorio de paquetes aprobados por producción.

  • Actualice los registros de implementación cuando se implementa un artefacto en un entorno de producción.

            GitHubprocesa estos metadatos y lo usa para encender filtros de alerta, como `artifact-registry-url` y `artifact-registry` desde registros de almacenamiento, y `has:deployment``runtime-risk` desde registros de implementación. Los riesgos en tiempo de ejecución de los registros de implementación también son visibles como propiedades en las páginas de alertas individuales code scanning y Dependabot.

Para obtener más información sobre la actualización de registros, consulte Carga de datos de almacenamiento e implementación en linked artifacts page.

2. Usar filtros de contexto de producción

Los filtros de contexto de producción están disponibles en la Security and quality pestaña .

  •         **
        Dependabot view**: Consulte [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **
        Code scanning view**: Consulte [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Vista de campaña de seguridad**: consulte [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Una vez que se muestra la lista de alertas, use los filtros artifact-registry-url o artifact-registry en las vistas de la organización para centrarse en las vulnerabilidades que afectan a los artefactos en producción.

  • Para su propio repositorio de artefactos hospedado en my-registry.example.com, usaría:

    Text
    artifact-registry-url:my-registry.example.com

  • Si usa JFrog Artifactory, puede usar artifact-registry sin ninguna configuración adicional en GitHub:

    Text
    artifact-registry:jfrog-artifactory

También puede usar los filtros has:deployment y runtime-risk para centrarse en vulnerabilidades que los metadatos de implementación muestran como en implementación o en riesgo de vulnerabilidades en tiempo de ejecución. Estos datos se rellenan automáticamente si ha conectado MDC. Por ejemplo:

  • Para centrarse en las alertas en el código implementado que se expone a Internet, usaría:

    Text
    has:deployment AND runtime-risk:internet-exposed

También puede combinar estos filtros de contexto de producción con otros filtros, como EPSS:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Corregir alertas en el código de producción

Ahora que ha identificado las alertas que ponen el código de producción en riesgo de explotación, debe corregirlos como cuestión de urgencia. Siempre que sea posible, use la automatización para reducir la barrera a la corrección.

  •         **
        Dependabot alerts:** Usa pull requests automatizados para correcciones de seguridad. Consulta [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **
        Code scanning alertas: cree campañas dirigidas** con Autofix de Copilot. Consulta [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Lectura adicional

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)