识别安全警报后,下一步是识别最紧急的警报并修复这些警报。 安全活动是一种将警报分组并与开发人员共享的方式,因此你可以协作修正代码 中的漏洞和任何公开的机密。
日常工作中的安全性活动
作为安全性负责人,您可以使用安全性活动来支持许多目标。
- 通过领导工作来修正警报,从而改善公司的安全状况。
- 通过创建相关的 code scanning 警报活动,让开发者协作修复,强化开发者安全培训。
- 确保在 secret scanning 整改期限内解决警报。
- 在安全性团队和开发人员之间建立协作关系,以提升安全性警报的共享所有权。
- 向开发者明确需要优先修复的紧急警报,并监控警报的处理情况。
使用安全性活动的优势
与鼓励开发人员修复安全性警报的其他方式相比,安全性活动具有更多优势。 具体而言,
- 开发人员会收到关于其可参与的所有安全活动的通知。
- 开发人员可以在不离开正常工作流的情况下查看你高亮显示的警报,以进行修正。
- 各个活动都有一名指定的联系人,负责解答问题、评审和协作。
- 对于 code scanning 警报, GitHub Copilot自动修复 会自动触发以建议解决方法。
- 对于 code scanning 和 secret scanning,你可以将活动中的警报分配给拥有写入权限的用户或 Copilot云代理,以自动生成包含修复内容的拉取请求。
你可以使用其中一个模板为活动选择一组密切相关的警报。 这样,开发人员就可凭借解决一条警报所获得的知识来修复更多警报,从而激励他们修复多条警报。
此外,还可使用 REST API 更高效地大规模创建活动并与之交互。 有关详细信息,请参阅“用于安全活动的 REST API 终结点”。
代码和机密活动之间的差异
注意
secret scanning 警报的相关活动当前处于 公开预览 阶段,可能随时更改。
所有活动的创建工作流都是相同的,但你会发现在进度跟踪和开发人员体验方面存在一些差异。
| 资产 | Code | 机密 |
|---|---|---|
| 可供包含的警报 | ||
| 仅限默认分支 | ||
| 仓库跟踪议题 | ||
| 开发人员通知 | ||
| 需要对存储库具有写入访问权限 | ||
| 需要查看对警报列表的访问权限 | ||
| 警报分配 | ||
| 可能会提升权限 | ||
| 自动修正支持 | ||
| GitHub Copilot自动修复 | ||
关于向用户分配警报 和 Copilot云代理
可以将code scanning或secret scanning警报分配给任何具有存储库写入访问权限的用户。
如果secret scanning警报的被分配者无法查看警报列表,则会临时提高其查看该警报的权限。 当他们被取消警报的分配时,任何额外权限都将被撤销。
GitHub 通知用户:
- 当他们被分配警报时
- 当该警报被消除时
对于code scanning,还可以使用 REST API 以编程方式执行一些操作,例如将用户分配到警报或取消分配用户,以及按被分配者筛选警报。 有关详细信息,请参阅 REST API 文档中的“适用于代码扫描的 REST API 终结点”。 此外,当分配了警报或删除了分配时,Webhook 可以通知你。
如果已为安全活动中的警报生成自动修复,你可以选择这些警报并将其分配给 Copilot云代理。 Copilot 将创建拉取请求并将你添加为请求的评审者。 请参阅“修复安全活动中的警报”。