关于安全性活动

可通过创建安全性活动并与开发人员协作来大规模修复安全性警报,以减少安全性积压工作。

谁可以使用此功能?

启用了 GitHub Secret Protection or GitHub Code Security 的 GitHub Team 或 GitHub Enterprise Cloud 上的组织

在本文中

识别安全警报后,下一步是识别最紧急的警报并修复这些警报。 安全活动是一种将警报分组并与开发人员共享的方式,因此你可以协作修正代码 中的漏洞和任何公开的机密。

日常工作中的安全性活动

作为安全性负责人,您可以使用安全性活动来支持许多目标。

  • 通过领导工作来修正警报,从而改善公司的安全状况。
  • 通过创建相关的 code scanning 警报活动,让开发者协作修复,强化开发者安全培训。
  • 确保在 secret scanning 整改期限内解决警报。
  • 在安全性团队和开发人员之间建立协作关系,以提升安全性警报的共享所有权。
  • 向开发者明确需要优先修复的紧急警报,并监控警报的处理情况。

使用安全性活动的优势

与鼓励开发人员修复安全性警报的其他方式相比,安全性活动具有更多优势。 具体而言,

  • 开发人员会收到关于其可参与的所有安全活动的通知。
  • 开发人员可以在不离开正常工作流的情况下查看你高亮显示的警报,以进行修正。
  • 各个活动都有一名指定的联系人,负责解答问题、评审和协作。
  • 对于 code scanning 警报, GitHub Copilot自动修复 会自动触发以建议解决方法。
  • 对于 code scanning 和 secret scanning,你可以将活动中的警报分配给拥有写入权限的用户或 Copilot云代理,以自动生成包含修复内容的拉取请求。

你可以使用其中一个模板为活动选择一组密切相关的警报。 这样,开发人员就可凭借解决一条警报所获得的知识来修复更多警报,从而激励他们修复多条警报。

此外,还可使用 REST API 更高效地大规模创建活动并与之交互。 有关详细信息,请参阅“用于安全活动的 REST API 终结点”。

代码和机密活动之间的差异

注意

secret scanning 警报的相关活动当前处于 公共预览版 阶段,可能随时更改。

所有活动的创建工作流都是相同的,但你会发现在进度跟踪和开发人员体验方面存在一些差异。

资产Code机密
可供包含的警报
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> 仅限默认分支 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>

| 仓库跟踪议题 | | | | 开发人员通知 | 需要对存储库具有写入访问权限 | 需要查看对警报列表的访问权限 | | | | 警报分配 | | 可能会提升权限 | | | | 自动修正支持 | GitHub Copilot自动修复 | |

关于向用户分配警报 和 Copilot云代理

可以将code scanning或secret scanning警报分配给任何具有存储库写入访问权限的用户。

如果secret scanning警报的被分配者无法查看警报列表,则会临时提高其查看该警报的权限。 当他们被取消警报的分配时,任何额外权限都将被撤销。

          GitHub 通知用户:
  • 当他们被分配警报时
  • 当该警报被消除时

对于code scanning,还可以使用 REST API 以编程方式执行一些操作,例如将用户分配到警报或取消分配用户,以及按被分配者筛选警报。 有关详细信息,请参阅 REST API 文档中的“适用于代码扫描的 REST API 终结点”。 此外,当分配了警报或删除了分配时,Webhook 可以通知你。

如果已为安全活动中的警报生成自动修复,你可以选择这些警报并将其分配给 Copilot云代理。 Copilot 将创建拉取请求并将你添加为请求的评审者。 请参阅“修复安全活动中的警报”。

后续步骤

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale)

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)