Приоритет оповещений о сканировании кода в Dependabot и с использованием производственного контекста

Сосредоточьте устранение реальных рисков, нацеливаясь на оповещения Dependabot и code scanning в артефактах, развернутых в продакшене, используя метаданные из внешних реестров, таких как JFrog Artifactory, ваших собственных рабочих процессов CI/CD или из Microsoft Defender for Cloud.

В этой статье

Менеджеры по безопасности приложений (AppSec) часто сталкиваются с большим объёмом оповещений, многие из которых могут не представлять реального риска, поскольку затронутый код так и не попадает в продакшн. Связав контекст рабочей среды с оповещениями, вы можете фильтровать и определять приоритеты уязвимостей, влияющих на артефакты, фактически утвержденные для рабочих сред. Это позволяет вашей команде сосредоточить усилия по исправлению уязвимостей, которые наиболее важны, уменьшая шум и повышая уровень безопасности.

1. Связать артефакты с производственным контекстом

GitHub linked artifacts page позволяет предоставлять производственный контекст для сборок вашей компании с помощью REST API или интеграции с партнёром. Команды могут использовать этот контекст для приоритизирования оповещений Dependabot и code scanning. Дополнительные сведения см. в разделе О связанных артефактах.

Чтобы предоставить производственный контекст, вам следует настроить систему так:

  • Обновлять записи хранения в linked artifacts page всякий раз, когда артефакт продвигается в репозиторий пакетов, одобренный для производства.
  •         **Обновляйте записи развертывания** при развертывании артефакта в производственной среде.

GitHub обрабатывает эти метаданные и использует их для питания фильтров оповещений, таких как artifact-registry-url записи has:deployment``runtime-risk хранения и artifact-registry из записей развертывания.

Для получения дополнительной информации об обновлении записей см. АВТОЗАГОЛОВОК.

2. Используйте фильтры производственного контекста

Фильтры производственного контекста доступны в представлениях оповещений и в видах кампаний безопасности во вкладке «Безопасность ».

  •         **Dependabot alerts view**: См. [Просмотр Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **Code scanning просмотр оповещений**: см. [АВТОЗАГОЛОВОК](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Обзор кампании безопасности**: см. [АВТОЗАГОЛОВОК](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

После отображения списка оповещений используйте artifact-registry-url фильтры OR artifact-registry в видах организаций, чтобы сосредоточиться на уязвимостях, затрагивающих артефакты в производстве.

  • Для вашего собственного репозитория артефактов, размещённого по адресу my-registry.example.com, вы будете использовать:

    Text
    artifact-registry-url:my-registry.example.com

  • Если вы используете JFrog Artifactory, вы можете использовать artifact-registry его без дополнительной настройки в GitHub:

    Text
    artifact-registry:jfrog-artifactory

Вы также можете использовать has:deployment фильтры runtime-risk AND, чтобы сосредоточиться на уязвимостях, которые метаданные развертывания показывают как развертывание или находящиеся под риском уязвимостей во время выполнения. Эти данные заполняются автоматически, если вы подключили MDC. Рассмотрим пример.

  • Чтобы сосредоточиться на оповещениях в развернутом коде, доступном в интернете, вы будете использовать:

    Text
    has:deployment AND runtime-risk:internet-exposed

Вы также можете объединить эти фильтры контекста производства с другими фильтрами, такими как EPSS:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Устранение оповещений в производственном коде

Теперь, когда вы выявили оповещения, которые подвергают ваш производственный код риску эксплуатации, вам нужно срочно их устранить. По возможности используйте автоматизацию для снижения барьера для устранения процедур.

  •         **Dependabot alerts:** Используйте автоматические pull requests для исправлений безопасности. См [. раздел AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **Code scanning оповещения:** Создавайте таргетированные кампании с помощью Автофикс второго пилота. См [. раздел AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Дополнительные материалы

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)