在识别出安全警报后,下一步是确定最紧急的警报并进行修复。安全活动是一种对警报进行分组并与开发者共享的方式,从而您可以协作修复代码中的漏洞以及任何泄露的机密信息。
您日常工作中的安全活动
您可以使用安全活动来支持作为安全负责人所追求的众多目标。
- 通过主导修复警报的工作,提升公司安全姿态。
- 通过创建相关代码扫描警报的活动并进行协作修复,强化对开发者的安全培训。
- 确保在您的修复目标时间内解决机密扫描警报。
- 在安全团队与开发者之间建立协作关系,推动对安全警报的共同所有权。
- 向开发者明确最紧急的修复警报并监控警报的修复情况。
使用安全活动的好处
安全活动相比其他鼓励开发者修复安全警报的方式具有许多优势。特别是,
- 开发者会收到可以参与的安全活动的通知。
- 开发者无需离开常规工作流即可看到您标记的待修复警报。
- 每个活动都有指定的联系人,负责问题、审查和协作。
- 对于代码扫描警报,GitHub Copilot Autofix 会自动触发并提供解决方案建议。
- 对于代码扫描和机密扫描,您可以将活动中的警报分配给具有写入权限的用户或分配给 Copilot 云代理,以自动生成包含修复的拉取请求。
您可以使用其中一个模板为活动选择一组高度相关的警报。这使得开发者能够基于已解决的警报所获得的知识继续修复更多警报,从而激励他们一次性修复多个警报。
此外,您可以使用 REST API 更高效且大规模地创建和交互安全活动。更多信息请参阅 REST API endpoints for security campaigns。
代码活动与机密活动的区别
注意
针对机密扫描警报的活动目前处于公开预览阶段,可能会更改。
所有活动的创建工作流相同,但您会在进度跟踪和开发者体验方面注意到一些差异。
| 属性 | 代码 | 机密 |
|---|---|---|
| 可包含的警报 | 仅默认分支 | |
| 库跟踪问题 | ||
| 开发者通知 | 需要对仓库的写入权限 | 需要对警报列表的查看权限 |
| 警报分配 | 可能提升权限 | |
| 自动修复支持 | GitHub Copilot Autofix |
关于将警报分配给用户和 Copilot 云代理
您可以将代码扫描或机密扫描警报分配给任何对该仓库拥有 写入 权限的用户。
如果机密扫描警报的受理人 无法查看警报列表,其权限会在该警报上被临时提升。解除分配后,所有额外权限将被撤销。
GitHub 会通知用户
- 当他们被分配到警报时
- 当该警报被驳回时
对于代码扫描,您还可以使用 REST API 编程方式执行上述部分操作,例如为警报分配或取消分配用户、以及按受理人过滤警报。更多信息请参阅 REST API 文档中的 REST API endpoints for code scanning。此外,还提供了 webhook,可在警报被分配或取消分配时通知您。
如果已为安全活动中的警报生成了自动修复,您可以选择这些警报并将其分配给 Copilot 云代理。Copilot 将创建一个拉取请求并将您添加为请求审阅者。请参阅 Fixing alerts in a security campaign。