Una vez que hayas identificado las alertas de seguridad en las ramas predeterminadas de los repositorios, el siguiente paso es identificar las alertas más urgentes y resolverlas. Las campañas de seguridad son una manera de agrupar alertas y compartirlas con los desarrolladores, de forma que puedas colaborar para corregir las vulnerabilidades en el código.
Note
Las campañas de seguridad están actualmente en versión preliminar pública y están sujetas a cambios.
Campañas de seguridad en el trabajo diario
Puedes usar campañas de seguridad para respaldar muchos de tus objetivos como responsable de seguridad, como por ejemplo:
- Mejorar la posición de seguridad de la empresa dirigiendo el trabajo para corregir las alertas.
- Reforzar el aprendizaje en seguridad para los desarrolladores mediante la creación de una campaña de alertas relacionadas para resolver en colaboración.
- Crear relaciones de colaboración entre el equipo de seguridad y los desarrolladores para promover la propiedad compartida de las alertas de seguridad.
- Proporcionar claridad a los desarrolladores sobre las alertas más urgentes para resolver y supervisar la corrección de alertas.
Ventajas del uso de campañas de seguridad
Una campaña de seguridad presenta muchas ventajas sobre otras maneras de animar a los desarrolladores a resolver alertas de seguridad. En particular,
- Los desarrolladores son informados sobre las campañas de seguridad que tienen lugar en repositorios en los que trabajan o a los que están suscritos (por correo electrónico durante la versión preliminar pública).
- Los desarrolladores pueden ver las alertas que has resaltado para que se corrijan sin salir de sus flujos de trabajo normales.
- Cada campaña tiene un punto de contacto designado para preguntas, revisiones y colaboración.
- GitHub Copilot Autofix se desencadena automáticamente para sugerir una resolución para cada alerta de seguridad.
Además, puedes usar una de las plantillas para seleccionar un grupo de alertas estrechamente relacionadas para una campaña. Esto permite a los desarrolladores aprovechar el conocimiento adquirido al resolver una alerta y utilizarlo para resolver otras muchas, lo que les proporciona un incentivo para resolver múltiples alertas.