在安全活动中修复警报

了解如何在安全活动中查找并修复警报。

谁可以使用此功能?

具有 写入 访问权限的用户

已在 GitHub Team 上启用 GitHub Secret Protection 或 GitHub Code Security 的组织

本文内容

在安全活动中查看警报

当活动针对您拥有写入权限的仓库中的安全警报时,您可以导航到活动中的仓库警报列表。

  • 在仓库的 安全与质量 选项卡中,点击侧边栏 “Campaigns(活动)” 下的任意一个活动。
  • 如果您在组织中拥有多个仓库的写入权限,打开组织的 安全与质量 选项卡中,点击侧边栏 “Campaigns(活动)” 下的任意一个活动。
  • 或者,点击活动邮件通知中的 查看安全活动

此视图显示当前仓库中名为 “SQL injection (CWE-89)” 的活动(灰色高亮)的警报,该活动由 “octocat”(深橙色轮廓)管理。

Screenshot of repository campaign view with "SQL injection (CWE-89)" campaign displayed and the "Campaign manager" outlined in dark orange.

在安全活动中修复警报

如果您想查看触发安全警报的代码及建议的修复方法,请点击警报名称以显示警报视图。

  1. 当您准备处理一个或多个安全警报时,请确保没有其他人在处理这些警报。在活动视图中,已在进行修复的警报会显示 Git 图标。点击图标即可查看关联的工作

    • 打开的草稿拉取请求可能正在修复此警报。
    • 打开的拉取请求可能正在修复此警报。
    • 该分支可能包含此警报的修复更改。

  2. 在仓库的活动视图中,选择您想要修复的警报。

  3. 将安全警报关联到工作分支

    • 如果所选警报至少有一个 “Autofix(自动修复)” 建议,点击 提交自动修复,并将更改提交到新分支或已有分支。
    • 如果所选警报没有可用的自动修复建议,点击 创建新分支,在新分支上进行警报修复工作。

  4. 完成警报修复并测试您的解决方案后,创建一个拉取请求并请求活动管理者进行审阅。

提示

如果您在活动中拥有多个仓库的写入权限,点击仓库中 “Campaign progress(活动进度)” 框内的链接,可查看组织层面的活动视图。从此视图打开仓库时,将显示活动警报视图。

将警报分配给 Copilot 云代理

注意

此选项目前处于公开预览阶段,可能会有变动。仓库必须已启用 Copilot 云代理。

如果已生成自动修复,您可以将一个或多个警报分配给 Copilot。Copilot 将创建拉取请求、应用自动修复,并将您添加为请求审阅者。

通过分配多个警报,Copilot 云代理将应用修复并在代码上迭代,以验证更改、检查是否出现新的安全问题,并确保没有合并冲突。

  1. 在仓库的活动视图中,选择您想要分配的警报。
  2. 在警报列表上方,点击 分配给 Copilot

在 30 秒内,Copilot 将打开一个拉取请求,以处理分配给 Copilot 和您自己的安全漏洞。该拉取请求将包含修复的概要和所做更改的细节。创建后,拉取请求会显示在对应警报旁边。

使用 GitHub Copilot Chat 进行安全编码

如果您可以使用 Copilot Chat,便可以向 AI 提问有关漏洞、建议的修复方式以及如何全面测试修复的相关问题。

提示

当仓库的语义代码搜索索引保持最新时,Copilot 在仓库上下文中回答此类自然语言问题的能力会得到优化。更多信息,请参阅 为 GitHub Copilot 索引仓库

© . This site is unofficial and not affiliated with GitHub, Inc.