Une fois que vous avez identifié les alertes de sécurité, l'étape suivante consiste à identifier les alertes les plus urgentes et à les résoudre. Les campagnes de sécurité sont un moyen de regrouper des alertes et de les partager avec les développeurs. Vous pouvez donc collaborer pour corriger les vulnérabilités dans le code et les secrets exposés.
Campagnes de sécurité dans votre travail quotidien
Vous pouvez utiliser les campagnes de sécurité pour atteindre plusieurs de vos objectifs en tant que responsable de la sécurité.
- Amélioration de la posture de sécurité de l’entreprise en menant le travail de correction des alertes.
- Renforcer la formation de sécurité pour les développeurs en créant une campagne d’alertes connexes code scanning à corriger en collaboration.
- Assurez-vous que secret scanning les alertes sont résolues dans votre objectif de remédiation.
- Création de relations collaboratives entre l’équipe de sécurité et les développeurs pour promouvoir la propriété partagée des alertes de sécurité.
- Indiquer clairement aux développeurs quelles sont les alertes les plus urgentes à corriger et surveiller leur correction.
Avantages de l’utilisation des campagnes de sécurité
Une campagne de sécurité présente de nombreux avantages par rapport à d’autres méthodes pour inciter les développeurs à corriger les alertes de sécurité. En particulier :
- Les développeurs sont informés des campagnes de sécurité auxquelles ils peuvent contribuer.
- Les développeurs peuvent voir les alertes que vous avez mises en surbrillance pour la correction sans quitter leurs flux de travail normaux.
- Chaque campagne dispose d’un point de contact désigné pour répondre aux questions, valider les corrections et faciliter la collaboration.
- Pour les alertes de code scanning, GitHub Copilot Autofix est automatiquement déclenché pour proposer une résolution.
- Pour les deux code scanning et secret scanning, vous pouvez affecter des alertes dans une campagne aux utilisateurs ayant un accès en écriture, ou bien à agent Copilot de cloud pour générer automatiquement des pull requests avec des correctifs.
Vous pouvez utiliser l’un des modèles pour sélectionner un groupe d’alertes étroitement liées dans le cadre d’une campagne. Cela permet aux développeurs de s’appuyer sur les connaissances acquises en corrigeant une alerte et de les utiliser pour corriger d’autres problèmes, leur donnant ainsi une motivation pour résoudre plusieurs alertes.
En outre, vous pouvez utiliser l’API REST pour créer et interagir avec des campagnes plus efficacement et à grande échelle. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les campagnes de sécurité ».
Différences entre les campagnes codées et secrètes
Remarque
Les campagnes pour les alertes secret scanning sont actuellement en phase préversion publique et sont susceptibles d'être modifiées.
Le flux de travail de création est le même pour toutes les campagnes, mais vous remarquerez quelques différences dans le suivi des progrès et l’expérience des développeurs.
| Propriété | Code | Secret |
|---|---|---|
| Alertes disponibles pour inclusion |
<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> Branche par défaut uniquement | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>
| Problèmes de suivi du référentiel | | | | Notifications aux développeurs | Nécessite l’accès en écriture au référentiel | Nécessite l’accès en mode affichage à la liste des alertes | | | | Affectation d'alerte | | Peut augmenter les autorisations | | | | Prise en charge automatique de la correction | GitHub Copilot Autofix | |
À propos de l’attribution d’alertes aux utilisateurs et agent Copilot de cloud
Vous pouvez affecter une alerte code scanning ou bien secret scanning à tout utilisateur disposant d’un accès en écriture du référentiel.
Si le bénéficiaire d’une secret scanning alerte ne peut pas afficher la liste des alertes, ses autorisations sont temporairement déclenchées pour cette alerte. Toutes les autorisations supplémentaires sont révoquées lorsqu’elles ne sont pas attribuées à l’alerte.
GitHub avertit les utilisateurs :
- Lorsqu’elles sont affectées à une alerte
- Lorsque cette alerte est ignorée
Pour code scanning, vous pouvez également effectuer certaines de ces opérations de manière programmatique à l’aide de l’API REST, telles que l’attribution ou la suppression d’utilisateurs à des alertes, et le filtrage des alertes par assigné. Pour plus d’informations, consultez Points de terminaison d’API REST pour l’analyse de codes dans la documentation de l’API REST. En outre, les webhooks sont disponibles pour vous avertir lorsqu’une alerte est attribuée ou qu’une attribution est supprimée.
Si une correction automatique a été générée pour les alertes dans une campagne de sécurité, vous pouvez sélectionner ces alertes et les affecter à agent Copilot de cloud. Copilot crée une pull request et vous ajoute en tant que réviseur sollicité. Consultez Résolution des alertes dans une campagne de sécurité.
Étapes suivantes
-
[AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale) -
[AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)