Приоритет оповещений о сканировании кода в Dependabot и с использованием производственного контекста

Сосредоточьте устранение реальных рисков с помощью таргетинга Dependabot и code scanning оповещений по артефактам, развернутым в продакшене, используя метаданные из внешних систем и интеграций, таких как Dynatrace, JFrog Artifactory Microsoft Defender for Cloud, или собственные рабочие процессы CI/CD.

В этой статье

Менеджеры по безопасности приложений (AppSec) часто сталкиваются с большим объёмом оповещений, многие из которых могут не представлять реального риска, поскольку затронутый код так и не попадает в продакшн. Связав контекст рабочей среды с оповещениями, вы можете фильтровать и определять приоритеты уязвимостей, влияющих на артефакты, фактически утвержденные для рабочих сред. Это позволяет вашей команде сосредоточить усилия по исправлению уязвимостей, которые наиболее важны, уменьшая шум и повышая уровень безопасности.

1. Связать артефакты с производственным контекстом

          GitHub's linked artifacts page позволяет предоставлять производственный контекст для сборок вашей компании с помощью REST API или партнёрской интеграции. Команды могут использовать этот контекст для расстановки Dependabot приоритетов и code scanning оповещений. Дополнительные сведения см. в разделе [AUTOTITLE](/code-security/concepts/supply-chain-security/linked-artifacts).

Чтобы предоставить производственный контекст, вам следует настроить систему так:

  • Обновляйте записи хранения в linked artifacts page каждый раз, когда артефакт продвигается в репозиторий пакетов, одобренный для производства.
  •         **Обновляйте записи развертывания** при развертывании артефакта в производственной среде.

        GitHub Обрабатывает эти метаданные и использует их для питания фильтров оповещений, таких как `artifact-registry-url` записи хранения и `artifact-registry` от них, а `has:deployment``runtime-risk` также от записей развертывания. Риски во время выполнения, связанные с записями развертывания, также видны как свойства на отдельных code scanning страницах и Dependabot страницах оповещений.

Для получения дополнительной информации об обновлении записей см. Загрузка данных хранения и развертывания в linked artifacts page.

2. Используйте фильтры производственного контекста

Фильтры производственного контекста доступны во вкладке Security and quality .

  •         **
        Dependabot просмотр**: см. [АВТОТИТРЫ](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **
        Code scanning просмотр**: см. [АВТОТИТРЫ](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Обзор кампании безопасности**: см. [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

После отображения списка оповещений используйте artifact-registry-url фильтры OR artifact-registry в видах организаций, чтобы сосредоточиться на уязвимостях, затрагивающих артефакты в производстве.

  • Для вашего собственного репозитория артефактов, размещённого по адресу my-registry.example.com, вы будете использовать:

    Text
    artifact-registry-url:my-registry.example.com

  • Если вы используете JFrog Artifactory, вы можете использовать artifact-registry без дополнительной настройки в GitHub:

    Text
    artifact-registry:jfrog-artifactory

Вы также можете использовать has:deployment фильтры runtime-risk AND, чтобы сосредоточиться на уязвимостях, которые метаданные развертывания показывают как развертывание или находящиеся под риском уязвимостей во время выполнения. Эти данные заполняются автоматически, если вы подключили MDC. Рассмотрим пример.

  • Чтобы сосредоточиться на оповещениях в развернутом коде, доступном в интернете, вы будете использовать:

    Text
    has:deployment AND runtime-risk:internet-exposed

Вы также можете объединить эти фильтры контекста производства с другими фильтрами, такими как EPSS:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Устранение оповещений в производственном коде

Теперь, когда вы выявили оповещения, которые подвергают ваш производственный код риску эксплуатации, вам нужно срочно их устранить. По возможности используйте автоматизацию для снижения барьера для устранения процедур.

  •         **
        Dependabot alerts:** Используйте автоматические pull requests для исправлений безопасности. См [. раздел AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **
        Code scanning оповещения:** Создайте таргетированные кампании с Copilot Autofix. См [. раздел AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Дополнительные материалы

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)