После определения оповещений системы безопасности следующим шагом является определение наиболее срочных оповещений и их исправление. Кампании по безопасности — это способ группировать оповещения и делиться ими с разработчиками, чтобы вы могли совместно устранять уязвимости в коде и раскрытые секреты.
Кампании по безопасности в повседневной работе
Вы можете использовать кампании безопасности для поддержки многих целей в качестве лидера безопасности.
- Улучшение состояния безопасности компании путем ведущих работ по исправлению оповещений.
- Усилить обучение безопасности для разработчиков, создавая кампанию связанных code scanning оповещений для совместного исправления.
- Убедиться, что secret scanning оповещения разрешаются внутри вашей цели по устранению.
- Создание отношений совместной работы между командой безопасности и разработчиками для повышения общего владения оповещениями системы безопасности.
- Предоставление разработчикам ясности в наиболее срочных оповещениях для исправления и мониторинга исправлений оповещений.
Преимущества использования кампаний безопасности
Кампания по безопасности имеет множество преимуществ по сравнению с другими способами поощрения разработчиков к исправлению оповещений системы безопасности. В частности,
- Разработчики уведомляются о любых кампаниях безопасности, в которые они могут вносить свой вклад.
- Разработчики могут видеть оповещения, выделенные для исправления, не оставляя обычные рабочие процессы.
- Каждая кампания имеет именованную точку контакта для вопросов, отзывов и совместной работы.
- Для code scanning оповещений Автофикс GitHub Copilot автоматически срабатывает с предложением разрешения.
- Для обоих code scanning и secret scanning, вы можете назначать оповещения в кампании пользователям с доступом к записи или для Copilot облачный агент автоматической генерации pull requests с исправлениями.
Вы можете использовать один из шаблонов для выбора группы тесно связанных оповещений для кампании. Это позволяет разработчикам создавать знания, полученные путем разрешения одного оповещения и использования его для исправления нескольких дополнительных возможностей, предоставляя им стимул для устранения нескольких оповещений.
Кроме того, rest API можно использовать для создания и взаимодействия с кампаниями более эффективно и в масштабе. Дополнительные сведения см. в разделе Конечные точки REST API для кампаний безопасности.
Различия между кампаниями по коду и секретам
Рабочий процесс создания одинаков для всех кампаний, но вы заметите несколько различий в отслеживании хода выполнения и опыте разработчика.
| Недвижимость | Code | Секрет |
|---|---|---|
| Оповещения, доступные для включения | ||
| Только по умолчанию ветка | ||
| Проблемы отслеживания репозитория | ||
| Уведомления разработчика | ||
| Требуется доступ к записи в репозиторий | ||
| Требуется просмотр доступа к списку оповещений | ||
| Назначение оповещений | ||
| Может получить разрешения | ||
| Поддержка автоматического исправления | ||
| Автофикс GitHub Copilot | ||
О назначении оповещений пользователям и Copilot облачный агент
Вы можете назначить code scanning a или secret scanning оповещение любому пользователю, у которого есть доступ к записи репозитория.
Если правообладатель secret scanningоповещения не может просмотреть список оповещений, его права временно повышаются для этого оповещения. Все дополнительные разрешения отзываются при отмене их назначения в оповещении.
GitHub Уведомляет пользователей:
- Когда им назначают тревогу
- Когда это предупреждение будет снято
Для code scanning, вы также можете выполнять некоторые из этих операций программно с помощью REST API, например, назначание или снятие пользователей с оповещений и фильтрацию уведомлений по назначению. Дополнительные сведения см . в статье AUTOTITLE в документации по REST API. Кроме того, доступны вебхуки, которые уведомляют вас о назначении оповещения или удалении задания.
Если автофикс для оповещений в кампании безопасности сгенерирован, вы можете выбрать эти оповещения и назначить их на Copilot облачный агент. Copilot Создам pull request и добавлю вас как запрошенного рецензента. См . раздел AUTOTITLE.