使用生产上下文确定 Dependabot 和代码扫描警报的优先级

利用来自 JFrog Artifactory 等外部注册表、你自己的 CI/CD 工作流或 Microsoft Defender for Cloud 的元数据,针对部署到生产环境的工件中的 Dependabot 和 code scanning 警报重点进行修正,聚焦实际风险。

本文内容

应用程序安全(AppSec)管理器经常被大量警报所淹没,其中许多警报可能并不表示实际风险,因为受影响的代码永远不会使其投入生产。 通过将生产环境上下文与警报关联,你可以筛选并优先处理那些会影响已获准部署到生产环境的工件的漏洞。 这使你的团队能够将修正工作集中在最重要的漏洞上,从而减少干扰并提升安全状况。

1. 将工件与生产环境相关联

GitHub的linked artifacts page使您能够使用 REST API 或合作伙伴集成为公司的构建提供生产环境信息。 团队可以利用这些信息来优先考虑 {data variables.product.prodname_dependabot} 和 {data variables.product.prodname_code_scanning} 警报。 有关详细信息,请参阅“关于链接的工件”。

若要提供生产上下文,应将系统配置为:

  • 在每当将工件提升到生产批准的包存储库时,更新 linked artifacts page 中的 存储记录
  • 将项目部署到生产环境时更新 部署记录

GitHub 处理此元数据,并使用它为警报筛选器提供支持,例如来自存储记录的 artifact-registry-urlartifact-registry 以及来自部署记录的 has:deploymentruntime-risk

有关更新记录的详细信息,请参阅 上传储存与部署数据至 linked artifacts page

2. 使用生产环境上下文筛选器

生产上下文筛选器在“ 安全 ”选项卡下的警报视图和安全市场活动视图中可用。

  •         **Dependabot alerts 视图**:请参阅[查看 Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts)。

  •         **Code scanning 警报视图**:请参阅 [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository)。

  •         **安全活动视图**:请参阅 [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)。

在显示警报列表后,请使用组织视图中的artifact-registry-urlartifact-registry筛选器,以专注于影响生产环境中制品的漏洞。

  • 对于托管在 my-registry.example.com 的自有工件注册表,你将使用:

    Text
    artifact-registry-url:my-registry.example.com

  • 如果利用 JFrog Artifactory,则可以在 GitHub 中直接使用 artifact-registry,无需进一步设置。

    Text
    artifact-registry:jfrog-artifactory

还可以使用 has:deploymentruntime-risk 筛选器来关注部署元数据中显示正在部署的安全漏洞,或面临运行时安全漏洞风险的漏洞。 如果您已连接 MDC,则该数据将自动填充。 例如:

  • 若要专注于向 Internet 公开的已部署代码中的警报,请使用:

    Text
    has:deployment AND runtime-risk:internet-exposed

还可以将这些生产上下文筛选器与其他筛选器(例如 EPSS)组合在一起:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. 修正生产代码中的警报

现在,您已识别出使生产代码面临被利用风险的警报,您需要紧急修正这些问题。 尽可能使用自动化来降低修正障碍。

  •         **Dependabot alerts:** 使用自动拉取请求获取安全修复。 请参阅“[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)”。

  •         **Code scanning 警报:** 通过 Copilot Autofix 创建有针对性的活动。 请参阅“[AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)”。

延伸阅读

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)