Beheben von Warnungen in einer Sicherheitskampagne

Hier erfährst du, wie du an einer Sicherheitskampagne teilnehmen kannst und welchen Nutzen sie für deine Karriere und deinen Code haben kann.

Wer kann dieses Feature verwenden?

Benutzer*innen mit Schreibzugriff

Organisationen in GitHub Enterprise Cloud mit aktivierter GitHub Advanced Security

In diesem Artikel

Note

Sicherheitskampagnen befinden sich aktuell in public preview. Änderungen sind vorbehalten.

Was ist eine Sicherheitskampagne?

Eine Sicherheitskampagne ist eine Gruppe von Sicherheitswarnungen, die in den Standardbranches von durch einen Organisationsbesitzer oder Sicherheitsmanager zur Behebung ausgewählten Repositorys erkannt werden. Wenn eine Sicherheitskampagne mit Warnungen in Repositorys erstellt wird, auf die du Schreibzugriff hast, wirst du benachrichtigt, sofern du E-Mail-Benachrichtigungen für „All activity“ oder „Security alerts“ abonnierst. Wenn du die Registerkarte Security für ein Repository mit einer oder mehreren Kampagnenwarnungen öffnest, wird der Name der Kampagne in der Randleiste der Ansicht angezeigt.

Du kannst an einer Sicherheitskampagne teilnehmen, indem du eine oder mehrere der für die Kampagne ausgewählten Warnungen behebst.

Nutzen der Behebung von Warnungen in einer Kampagne

Neben dem Nutzen, ein wichtiges Sicherheitsproblem aus deinem Code zu entfernen, bieten Warnungen in einer Sicherheitskampagne im Vergleich zum Beheben einer anderen Warnung in deinem Repository einige weitere Vorteile.

  • Du kannst mit einem Kontakt im Sicherheitsteam zusammenarbeiten.
  • Dir ist bewusst, dass du eine Sicherheitswarnung behebst, der für das Unternehmen wichtig ist.
  • Du hast potenziell Zugriff auf zielgerichtetes Schulungsmaterialien.
  • Du musst keinen Vorschlag von GitHub Copilot Autofix anfordern, da dieser bereits als Ausgangspunkt verfügbar ist.
  • Wenn du Zugriff auf GitHub Copilot Chat hast, kannst du Fragen zur Warnung und zum vorgeschlagenen Fix stellen.
  • Du bildest dich fort und demonstrierst dein Wissen über das Schreiben sicheren Codes.

Anzeigen von Warnungen in einer Sicherheitskampagne

Wenn eine Kampagne auf Sicherheitswarnungen in einem Repository abzielt, auf das du Schreibzugriff hast, kannst du in der Kampagne zur Liste der Repositorybenachrichtigungen navigieren.

  • Zeige die Registerkarte Security für das Repository an, und klicke auf eine der Kampagnen unter dem Titel „Campaigns“ in der Randleiste.
  • Wenn du E-Mail-Benachrichtigungen für „All activity„ oder „Security alerts“ im Repository aktiviert hast, klicke in der Kampagnen-E-Mail auf View security campaign.
  • Wenn du Schreibzugriff auf mehrere Repositorys in der Organisation hast, zeige die Registerkarte Security für die Organisation an, und klicke auf eine der Kampagnen unter dem Titel „Campaigns“ in der Randleiste.

In diese Ansicht werden die Warnungen im aktuellen Repository für eine Kampagne namens „SQL injection (CWE-89)“ (grau hervorgehoben) angezeigt, die von „octocat“ (dunkelorange umrandet) verwaltet wird.

Screenshot der Ansicht der Repositorykampagne mit der angezeigten Kampagne „SQL injection (CWE-89)“ und „Campaign manager“ dunkelorange umrandet

Beheben von Warnungen in einer Sicherheitskampagne

Wenn du den Code anzeigen möchtest, der die Sicherheitswarnung ausgelöst hat, und den vorgeschlagenen Fix, klicke auf den Namen der Warnung, um die Warnungsansicht anzuzeigen.

  1. Wenn du bereit bist, an mindestens einer Sicherheitswarnung zu arbeiten, stelle sicher, dass noch niemand an diesen Warnungen arbeitet. In der Kampagnenansicht werden Git-Symbole auf Warnungen angezeigt, bei denen ein Fix möglicherweise bereits ausgeführt wird. Klicke auf ein Symbol, um die verknüpfte Arbeit anzuzeigen:

    • : Der Entwurf eines offenen Pull Requests kann diese Warnung möglicherweise beheben.
    • : Ein offener Pull Request kann diese Warnung möglicherweise beheben.
    • : Ein Branch enthält möglicherweise Änderungen, die diese Warnung beheben.

  2. Wähle in der Kampagnenansicht für das Repository die Warnungen aus, die du korrigieren möchtest.

  3. Verbinde die Sicherheitswarnungen mit einem funktionierenden Branch:

    • Wenn mindestens ein Vorschlag als „Autofix“ für die ausgewählten Warnungen verfügbar ist, klicke auf Commit autofix, und committe die Änderungen in einem neuen oder vorhandenen Branch.
    • Wenn für die ausgewählten Warnungen keine Vorschläge als „Autofix“ vorhanden sind, klicke auf Create new branch, um einen neuen Branch zu erstellen, in dem du die Warnungen behebst.

  4. Wenn du die Behebung der Warnungen und das Testen deiner Lösungen abgeschlossen hast, erstelle einen Pull Request für deine Änderungen, und fordere vom Kampagnen-Manager einen Review an.

Tip

Wenn du über Schreibberechtigungen für mehrere Repositorys in der Kampagne verfügst, klicke im Repository auf den Link im Feld „Campaign progress“, um die Ansicht der Kampagne auf Organisationsebene anzuzeigen. Wenn du ein Repository aus dieser Ansicht öffnest, wird die Warnungsansicht der Kampagne angezeigt.

Verwenden von GitHub Copilot Chat für das Schreiben sicheren Codes

Wenn du Zugriff auf Copilot Chat hast, kannst du der KI Fragen zum Sicherheitsrisiko, dem vorgeschlagenen Fix und dem umfassenden Testen des Fixes stellen.

Zur optimalen Verwendung von Copilot Chat für Codesicherheit solltest du Folgendes berücksichtigen:

  1. Weitere Informationen zur Indizierung deiner Repositorys, damit Copilot Chat über mehr Kontext verfügt, um Fragen zum Repositorycode zu beantworten, findest du unter Indizieren von Repositorys für Copilot-Chat.
  2. Explizites Anweisen von Copilot Chat, die Fertigkeit GitHub Advanced Security zu verwenden, um deine Fragen zu beantworten, z. B. „Verwende die Fertigkeit GitHub Advanced Security, um zu erläutern, wie durch diese Warnung ein Sicherheitsrisiko im Code entsteht.“