運用コンテキストを使用した Dependabot とコード スキャンアラートの優先順位付け

Dependabot と code scanning アラートを、JFrog Artifactory や独自の CI/CD ワークフローなどの外部レジストリのメタデータを使用して運用環境にデプロイされたアーティファクト内でターゲットし、または Microsoft Defender for Cloud からアラートを適用することで、実際のリスクに重点を置いた修正を行います。

この記事の内容

Application Security (AppSec) マネージャーは、多くの場合、大量のアラートに圧倒されます。その多くは、影響を受けるコードが運用環境に移行しないため、実際のリスクを表さない可能性があります。 運用コンテキストをアラートに関連付けることで、運用環境で実際に承認されている成果物に影響を与える脆弱性をフィルター処理し、優先順位を付けることができます。 これにより、チームは最も重要な脆弱性の修復作業に集中し、ノイズを減らし、セキュリティ態勢を向上させることができます。

1. 成果物を運用コンテキストに関連付ける

GitHub's linked artifacts page を使用すると、REST API またはパートナー統合を使用して、会社のビルドの運用コンテキストを提供できます。 その後、Teams はこのコンテキストを利用して、Dependabot アラートと code scanning アラートに優先順位を付けることができます。 詳しくは、「リンクされた成果物について」をご覧ください。

運用コンテキストを提供するには、次のようにシステムを構成する必要があります。

  • 成果物が運用環境で承認されたパッケージ リポジトリに昇格されるたびに、linked artifacts page 内の ストレージ レコード を更新します。
  • 成果物が運用環境にデプロイされたときにデプロイ レコード を更新します。

GitHub は、このメタデータを処理し、それを使用して、ストレージ レコードからの artifact-registry-urlartifact-registry 、デプロイ レコードからの has:deploymentruntime-risk などのアラート フィルターに電力を供給します。

レコードの更新の詳細については、 linked artifacts page へのストレージおよびデプロイメント データのアップロード を参照してください。

2. 運用コンテキスト フィルターを使用する

運用コンテキスト フィルターは、[ セキュリティ ] タブのアラート ビューとセキュリティ キャンペーン ビューで使用できます。

  •         **Dependabot alerts の表示**: [Dependabot alerts の表示](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts)を参照してください。

  •         **Code scanning アラート ビュー**: [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository) を参照してください。

  •         **セキュリティ キャンペーン ビュー**: [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns) を参照してください。

アラートリストが表示されたら、組織ビューの artifact-registry-url または artifact-registry フィルターを使用して、運用環境に存在するアーティファクトに影響を与える脆弱性に焦点を当てます。

  •         `my-registry.example.com`でホストされている独自のアーティファクト リポジトリの場合は、次を使用します。
    Text
    artifact-registry-url:my-registry.example.com

  • JFrog Artifactory を使用する場合は、GitHubでこれ以上セットアップを行っていない artifact-registry を使用できます。

    Text
    artifact-registry:jfrog-artifactory

また、 has:deployment フィルターと runtime-risk フィルターを使用して、デプロイ時や実行時の脆弱性のリスクでデプロイ メタデータに表示される脆弱性に焦点を当てることもできます。 MDC に接続している場合、このデータは自動的に入力されます。 例えば次が挙げられます。

  • インターネットに公開されているデプロイされたコードのアラートに焦点を当てるには、次のコマンドを使用します。

    Text
    has:deployment AND runtime-risk:internet-exposed

これらの運用コンテキスト フィルターを、EPSS などの他のフィルターと組み合わせることもできます。

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. 運用コードでアラートを修復する

これで、運用コードを悪用のリスクにさらすアラートを特定しました。緊急性の問題として修復する必要があります。 可能な場合は、自動化を使用して修復の障壁を下げる。

  •         **Dependabot alerts:** セキュリティ修正には、自動プルリクエストを使用します。 「[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)」を参照してください。

  •         **Code scanning アラート:** Copilotの自動修正 を使用してターゲット キャンペーンを作成します。 「[AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)」を参照してください。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)