Sobre as campanhas de segurança

Você pode corrigir os alertas de segurança em escala criando campanhas de segurança e colaborando com desenvolvedores para eliminar sua lista de pendências de segurança.

Quem pode usar esse recurso?

Organizações no GitHub Team com o GitHub Secret Protection or GitHub Code Security habilitado

Neste artigo

Depois que você identifica os alertas de segurança, a próxima etapa é identificar os alertas mais urgentes e corrigi-los. As campanhas de segurança são uma forma de agrupar alertas e compartilhá-los com os desenvolvedores, de modo que vocês possam colaborar para corrigir as vulnerabilidades do código e quaisquer segredos expostos.

Campanhas de segurança no trabalho diário

Você pode usar campanhas de segurança para dar suporte a muitos dos seus objetivos como líder de segurança.

  • Aprimorar a postura de segurança da empresa conduzindo o trabalho para corrigir os alertas.
  • Reforçar o treinamento de segurança para desenvolvedores com a criação de uma campanha de alertas do code scanning relacionados, a fim de corrigir de forma colaborativa.
  • Garantir que os alertas do secret scanning sejam resolvidos dentro de sua meta de correção.
  • Criar relações colaborativas entre a equipe de segurança e os desenvolvedores a fim de promover a propriedade compartilhada dos alertas de segurança.
  • Esclarecer aos desenvolvedores sobre os alertas mais urgentes a serem corrigidos e monitorar a correção de alertas.

Benefícios do uso das campanhas de segurança

Uma campanha de segurança tem muitos benefícios em relação a outras maneiras de incentivar os desenvolvedores a corrigir alertas de segurança. Especialmente,

  • Os desenvolvedores são notificados sobre quaisquer campanhas de segurança com as quais possam contribuir.
  • Os desenvolvedores podem ver os alertas que você realçou para correção sem sair dos respectivos fluxos de trabalho normais.
  • Cada campanha tem um ponto de contato nomeado para perguntas, revisões e colaboração.
  • Para alertas do code scanning, o Correção automática do GitHub Copilot é acionado automaticamente para sugerir uma resolução.

Você pode usar um dos modelos para escolher um grupo de alertas intimamente relacionados de uma campanha. Isso permite que os desenvolvedores aprimorem o conhecimento adquirido resolvendo um alerta e o usem para corrigir vários outros, fornecendo a eles um incentivo para a correção de vários alertas.

Além disso, você pode usar a API REST para criar e interagir com campanhas de maneira mais eficiente e em escala. Para saber mais, confira Pontos de extremidade de API REST para campanhas de segurança.

Diferenças entre campanhas de código e de segredo

Observação

Campanhas para alertas do secret scanning estão em versão prévia pública e estão sujeitas a alterações.

O fluxo de trabalho de criação é o mesmo para todas as campanhas, mas você observará algumas diferenças no acompanhamento do progresso e na experiência do desenvolvedor.

PropriedadeCodeSecret
Alertas disponíveis para inclusão Somente branch padrão
Problemas de acompanhamento do repositório
Notificações do desenvolvedor Requer acesso para gravação ao repositório Requer acesso para exibição à lista de alertas
Atribuição de alertas Pode gerar permissões
Suporte à correção automática Correção automática do GitHub Copilot

Como atribuir alertas aos usuários e Agente de codificação do Copilot

Você pode atribuir um alerta do code scanning ou secret scanning a qualquer usuário que tenha acesso para gravação ao repositório.

Se o destinatário de um alerta do secret scanning não puder exibir a lista de alertas, suas permissões serão geradas temporariamente para esse alerta. Todas as permissões adicionais são revogadas quando sua atribuição ao alerta é cancelada.

GitHub notifica os usuários:

  • Quando são atribuídos a um alerta
  • Quando esse alerta é ignorado

Para code scanning, você também pode executar algumas dessas operações programaticamente usando a API REST, como atribuir ou remover a atribuição de usuários a alertas e filtrar alertas por responsável. Para obter mais informações, confira Pontos de extremidade da API REST para varredura de código na documentação da API REST. Além disso, os webhooks estão disponíveis para notificar você quando um alerta é atribuído ou uma atribuição é removida.

Se uma correção automática tiver sido gerada para alertas em uma campanha de segurança, você poderá selecionar esses alertas e atribuí-los a Agente de codificação do Copilot. O Copilot criará uma solicitação de pull e adicionará você como revisor solicitado. Confira Como corrigir alertas em uma campanha de segurança.

Próximas etapas

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale)

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)