セキュリティ キャンペーンについて

セキュリティ キャンペーンを作成し、開発者と協力してセキュリティ バックログをバーンダウンすることで、セキュリティ アラートを大規模に修正できます。

この機能を使用できるユーザーについて

GitHub Secret Protection or GitHub Code Security が有効になっている GitHub Team または GitHub Enterprise Cloud 上の organization

この記事で

セキュリティ アラートを特定したら、次の手順は、最も緊急性の高いアラートを特定して修正することです。 セキュリティ キャンペーンは、アラートをグループ化して開発者と共有する方法です。これにより、コード および公開されているシークレットの脆弱性を修復するために共同作業を行うことができます。

日常の作業におけるセキュリティ キャンペーン

セキュリティ キャンペーンを使用すると、セキュリティ リーダーとして多くの目標を達成できるようになります。

  • アラートの修復作業をリードすることで、会社のセキュリティ態勢を改善する。
  • 関連する code scanning アラートのキャンペーンを作成して開発者向けのセキュリティ トレーニングを強化し、共同で修正します。
  • 修復ターゲット内で secret scanning アラートが解決されていることを確認します。
  • セキュリティ チームと開発者との間で協力的な関係を築き、セキュリティ アラートの共有所有権を促進する。
  • 開発者に対して、優先的に対応すべきアラートの明確化や、アラート修正状況の監視を行う。

セキュリティ キャンペーンを使用するメリット

セキュリティ キャンペーンには、開発者にセキュリティ アラートの修正を促す他の方法よりも、多くのメリットがあります。 特に次のような場合です。

  • 開発者には、貢献できるセキュリティ キャンペーンについて通知されます。
  • 開発者は、通常のワークフローから離れることなく、修復のために強調したアラートを確認できます。
  • 各キャンペーンには、質問、レビュー、コラボレーションのための指定された連絡先があります。
  •         code scanningアラートの場合、GitHub Copilot 自動修正は自動的にトリガーされ、解決策が提案されます。 

  •         code scanningとsecret scanningの両方で、キャンペーンのアラートを書き込みアクセス権を持つユーザーに割り当てるかCopilotクラウドエージェントに割り当てて、修正プログラムを含むプル要求を自動的に生成できます。

テンプレートのいずれかを使用して、キャンペーンに密接に関連するアラートのグループを選択できます。 開発者は最初の 1 件を解決する過程で得た知見を活かして、同種のアラートを効率的に修正していくことができます。これにより、アラートを複数まとめて解決する動機が生まれます。

さらに、REST API を使うと、キャンペーンをより効率的かつ大規模に作成および操作できます。 詳しくは、「セキュリティ キャンペーンの REST API エンドポイント」をご覧ください。

コード キャンペーンとシークレット キャンペーンの違い

メモ

現在、secret scanning アラートのキャンペーンは パブリック プレビュー 段階であり、変更される可能性があります。

作成ワークフローはすべてのキャンペーンで同じですが、進行状況の追跡と開発者のエクスペリエンスにはいくつかの違いがあります。

プロパティCodeSecret
含めることができるアラート
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> 既定のブランチのみ | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>

| リポジトリ追跡の issue | | | | 開発者への通知 | リポジトリへの書き込みアクセスが必要 | アラート リストへのビュー アクセスが必要 | | | | アラートの割り当て | | アクセス許可を上げる場合があります | | | | 自動修復のサポート | GitHub Copilot 自動修正 | |

ユーザーおよび Copilotクラウドエージェント へのアラート について

リポジトリのcode scanningアクセス権を持つすべてのユーザーに、secret scanningまたは**** アラートを割り当てることができます。

          secret scanningアラートの担当者が**アラート 一覧を表示できない**場合、そのアラートに対するアクセス権が一時的に引き上げられます。 アラートの割り当てが解除されると、追加のアクセス許可は取り消されます。



          GitHub ユーザーに通知します。

  • アラートに割り当てられる場合

  • そのアラートが無視されたとき

            code scanningの場合は、REST API を使用してプログラムでこれらの操作の一部を実行することもできます。たとえば、ユーザーをアラートに割り当てたり割り当て解除したり、割り当て先によるアラートのフィルター処理を行ったりすることもできます。 詳細については、REST API ドキュメントの「[AUTOTITLE](/rest/reference/code-scanning)」を参照してください。 さらに、アラートが割り当てられた場合や割り当てが削除されたときに通知する Webhook を使用できます。

セキュリティ キャンペーンのアラートに対して自動修正が生成されている場合は、それらのアラートを選択して、 Copilotクラウドエージェントに割り当てることができます。 Copilot では、プル リクエストが作成され、あなたがレビュアーとして追加されます。 「セキュリティ キャンペーンでのアラートの修正」を参照してください。

次のステップ

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale)

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)