Acerca de las campañas de seguridad

Puedes resolver las alertas de seguridad a gran escala creando campañas de seguridad y colaborando con los desarrolladores para reducir el trabajo pendiente de seguridad.

¿Quién puede utilizar esta característica?

Organizaciones en GitHub Team o GitHub Enterprise Cloud con GitHub Secret Protection or GitHub Code Security habilitado

En este artículo

Una vez que hayas identificado las alertas de seguridad, el siguiente paso es identificar las alertas más urgentes y corregirlas. Las campañas de seguridad son una manera de agrupar alertas y compartirlas con los desarrolladores, por lo que puede colaborar para corregir las vulnerabilidades en el código y los secretos expuestos.

Campañas de seguridad en el trabajo diario

Puede utilizar las campañas de seguridad para apoyar muchos de sus objetivos como responsable de seguridad.

  • Mejorar la posición de seguridad de la empresa dirigiendo el trabajo para corregir las alertas.
  • Reforzar la formación de seguridad para los desarrolladores mediante la creación de una campaña de alertas relacionadas code scanning para corregir de forma colaborativa.
  • Asegurarse de que secret scanning las alertas se resuelven dentro de su objetivo de remediación.
  • Crear relaciones de colaboración entre el equipo de seguridad y los desarrolladores para promover la propiedad compartida de las alertas de seguridad.
  • Proporcionar claridad a los desarrolladores sobre las alertas más urgentes para resolver y supervisar la corrección de alertas.

Ventajas de usar campañas de seguridad

Una campaña de seguridad presenta muchas ventajas sobre otras maneras de animar a los desarrolladores a resolver alertas de seguridad. En particular,

  • Se notifica a los desarrolladores sobre las campañas de seguridad a las que pueden contribuir.
  • Los desarrolladores pueden ver las alertas que has resaltado para que se corrijan sin salir de sus flujos de trabajo normales.
  • Cada campaña tiene un punto de contacto designado para preguntas, revisiones y colaboración.
  • En el caso de las alertas code scanning, corrección automática de GitHub Copilot se desencadena automáticamente para sugerir una resolución.
  • Para code scanning y secret scanning, puede asignar alertas en una campaña a los usuarios con acceso de escritura o a agente en la nube de Copilot para generar automáticamente solicitudes de incorporación de cambios con correcciones.

Puedes usar una de las plantillas para seleccionar un grupo de alertas estrechamente relacionadas para una campaña. Esto permite a los desarrolladores aprovechar el conocimiento adquirido al resolver una alerta y utilizarlo para resolver otras muchas, lo que les proporciona un incentivo para resolver varias alertas.

Además, puedes usar la API REST para crear e interactuar con campañas de forma más eficaz y a gran escala. Para más información, consulta Puntos de conexión de API REST para campañas de seguridad.

Diferencias entre las campañas de código y de secretos

Nota:

Las campañas para alertas de secret scanning se encuentran actualmente en versión preliminar pública y están sujetas a cambios.

El flujo de trabajo de creación es el mismo para todas las campañas, pero observarás algunas diferencias en el seguimiento del progreso y la experiencia del desarrollador.

PropiedadCódigoSecreto
Alertas disponibles para su inclusión
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> Solo rama predeterminada | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>

| Seguimiento de propuestas del repositorio | | | | Notificaciones para desarrolladores | Requiere acceso de escritura al repositorio | Requiere acceso de vista a la lista de alertas | | | | Asignación de alertas | | Puede generar permisos | | | | Compatibilidad con la corrección automática | corrección automática de GitHub Copilot | |

Acerca de la asignación de alertas a los usuarios y agente en la nube de Copilot

Puede asignar una alerta code scanning o secret scanning a cualquier usuario que tenga acceso de escritura para el repositorio.

Si el asignado de una alerta secret scanning no puede ver la lista de alertas, sus permisos se elevan temporalmente para esa alerta. Los permisos adicionales se revocan cuando se anula la asignación de la alerta.

          GitHub notifica a los usuarios:
  • Cuando ellos son asignados a una alerta
  • Cuando se descarta esa alerta

Para code scanning, también puede realizar algunas de estas operaciones programáticamente utilizando la API REST, como asignar o desasignar usuarios a alertas y filtrar las alertas según el asignado. Para más información, consulta Puntos de conexión de la API de REST para el análisis de código en la documentación de la API de REST. Además, los webhooks están disponibles para notificarle cuando se asigna una alerta o se quita una asignación.

Si se ha generado una autocorrección para las alertas en una campaña de seguridad, puede seleccionar dichas alertas para asignarlas a agente en la nube de Copilot. Copilot creará una solicitud de incorporación de cambios y la agregará como revisor solicitado. Consulta Corrección de alertas de una campaña de seguridad.

Pasos siguientes

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale)

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)