Sobre as campanhas de segurança

Você pode corrigir os alertas de segurança em escala criando campanhas de segurança e colaborando com desenvolvedores para eliminar sua lista de pendências de segurança.

Quem pode usar esse recurso?

Organizações no GitHub Team ou GitHub Enterprise Cloud com o GitHub Secret Protection or GitHub Code Security habilitado

Neste artigo

Depois que você identifica os alertas de segurança, a próxima etapa é identificar os alertas mais urgentes e corrigi-los. As campanhas de segurança são uma maneira de agrupar alertas e compartilhá-los com desenvolvedores, para que você possa colaborar para corrigir vulnerabilidades no código e em quaisquer segredos expostos.

Campanhas de segurança no trabalho diário

Você pode usar campanhas de segurança para dar suporte a muitos dos seus objetivos como líder de segurança.

  • Aprimorar a postura de segurança da empresa conduzindo o trabalho para corrigir os alertas.
  • Reforçando o treinamento de segurança para desenvolvedores criando uma campanha de alertas relacionados code scanning para corrigir de forma colaborativa.
  • Garantindo que os alertas de secret scanning sejam resolvidos dentro do seu objetivo de remediação.
  • Criar relações colaborativas entre a equipe de segurança e os desenvolvedores a fim de promover a propriedade compartilhada dos alertas de segurança.
  • Esclarecer aos desenvolvedores sobre os alertas mais urgentes a serem corrigidos e monitorar a correção de alertas.

Benefícios do uso das campanhas de segurança

Uma campanha de segurança tem muitos benefícios em relação a outras maneiras de incentivar os desenvolvedores a corrigir alertas de segurança. Especialmente,

  • Os desenvolvedores são notificados sobre quaisquer campanhas de segurança com as quais possam contribuir.
  • Os desenvolvedores podem ver os alertas que você realçou para correção sem sair dos respectivos fluxos de trabalho normais.
  • Cada campanha tem um ponto de contato nomeado para perguntas, revisões e colaboração.
  • Para alertas de code scanning, o Autofixo do GitHub Copilot é acionado automaticamente para sugerir uma correção.
  • Para ambos, code scanning e secret scanning, você pode atribuir alertas em uma campanha a usuários com acesso de gravação ou ao agente de nuvem Copilot para gerar automaticamente pull requests com correções.

Você pode usar um dos modelos para escolher um grupo de alertas intimamente relacionados de uma campanha. Isso permite que os desenvolvedores aprimorem o conhecimento adquirido resolvendo um alerta e o usem para corrigir vários outros, fornecendo a eles um incentivo para a correção de vários alertas.

Além disso, você pode usar a API REST para criar e interagir com campanhas de maneira mais eficiente e em escala. Para saber mais, confira Endpoints de API REST para campanhas de segurança.

Diferenças entre campanhas de código e de segredo

Observação

Campanhas para alertas do secret scanning estão em versão prévia pública e estão sujeitas a alterações.

O fluxo de trabalho de criação é o mesmo para todas as campanhas, mas você observará algumas diferenças no acompanhamento do progresso e na experiência do desenvolvedor.

PropriedadeCodeSecret
Alertas disponíveis para inclusão
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> Somente branch padrão | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>

| Problemas de acompanhamento do repositório | | | | Notificações do desenvolvedor | Requer acesso de gravação ao repositório | Requer acesso de exibição à lista de alertas | | | | Atribuição de alertas | | Pode gerar permissões | | | | Suporte à correção automática | Autofixo do GitHub Copilot | |

Sobre a atribuição de alertas aos usuários e agente de nuvem Copilot

Você pode atribuir um alerta de code scanning ou secret scanning a qualquer usuário que tenha acesso de gravação ao repositório.

Se o destinatário de um secret scanning alerta não puder exibir a lista de alertas, suas permissões serão elevadas temporariamente para esse alerta. Todas as permissões adicionais são revogadas quando sua atribuição ao alerta é cancelada.

          GitHub notifica os usuários:
  • Quando são atribuídos a um alerta
  • Quando esse alerta é ignorado

Para code scanning, você também pode executar algumas dessas operações programaticamente usando a API REST, como atribuir ou desatribuir usuários a alertas e filtrar alertas por responsável. Para obter mais informações, confira Pontos de extremidade da API REST para varredura de código na documentação da API REST. Além disso, os webhooks estão disponíveis para notificar você quando um alerta é atribuído ou uma atribuição é removida.

Se uma correção automática tiver sido gerada para alertas em uma campanha de segurança, você pode selecionar esses alertas e atribuí-los ao agente de nuvem Copilot. Copilot criará uma solicitação de pull e adicionará você como um revisor solicitado. Confira Como corrigir alertas em uma campanha de segurança.

Próximas etapas

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale)

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)