Obwohl die meisten neuen Sicherheitsrisiken von vielen Entwicklern als „Allgemeinwissen“ betrachtet werden, sind sie beispielsweise auf Cross-Site-Scripting (XSS), Einschleusung von SQL-Befehlen und websiteübergreifende Anforderungsfälschung (CSRF) zurückzuführen. Diese Sicherheitsrisiken können mit sicheren Programmiermethoden wie parametrisierten Abfragen, Eingabeüberprüfung und Vermeiden hartcodierter vertraulicher Daten verringert werden. GitHub Copilot kann dabei helfen, diese Probleme zu erkennen und zu beheben.
Note
Copilot Chat kann zwar dabei helfen, häufige Sicherheitsrisiken zu finden und zu beheben, doch du solltest dich nicht auf Copilot verlassen, um eine umfassende Sicherheitsanalyse zu erhalten. Mit Sicherheitstools und -features kannst du die Sicherheit deines Codes besser gewährleisten. Weitere Informationen zu GitHub-Sicherheitsfeatures findest du unter GitHub-Sicherheitsfeatures.
Beispielszenario
Der folgende JavaScript-Code weist ein potenzielles XSS-Sicherheitsrisiko auf. Dies könnte ausgenutzt werden, wenn der Parameter name
nicht richtig bereinigt wird, bevor er auf der Seite angezeigt wird.
function displayName(name) {
const nameElement = document.getElementById('name-display');
nameElement.innerHTML = `Showing results for "${name}"`
}
Beispiel für Prompt
Du kannst Copilot Chat auffordern, Code auf häufige Sicherheitsrisiken zu untersuchen und Erklärungen und Fehlerbehebungen für die gefundenen Probleme bereitzustellen.
Analyze this code for potential security vulnerabilities and suggest fixes.
Beispielantwort
Note
Die folgende Antwort ist ein Beispiel. Da die Copilot Chat-Antworten nicht deterministisch sind, erhältst du möglicherweise eine andere Antwort als die hier beschriebene.
Copilot gibt als Antwort eine Erläuterung des Sicherheitsrisikos aus und schlägt Änderungen am Code vor, um es zu beheben.
function displayName(name) {
const nameElement = document.getElementById('name-display');
nameElement.textContent = `Showing results for "${name}"`;
}