Como corrigir alertas em uma campanha de segurança

Saiba como você pode participar de uma campanha de segurança e como ela pode beneficiar sua carreira, bem como seu código.

Quem pode usar esse recurso?

Usuários com com acesso para gravação

Organizações no GitHub Enterprise Cloud com o GitHub Advanced Security habilitado

Neste artigo

Note

Atualmente, as campanhas de segurança estão em versão prévia pública e sujeitas a alterações.

O que é uma campanha de segurança

Uma campanha de segurança é um grupo de alertas de segurança, detectados nos branches padrão de repositórios, escolhidos por um proprietário da organização ou pelo gerente de segurança para correção. Quando uma campanha de segurança for criada com alertas em repositórios nos quais você tem permissão de escrita, você será notificado se assinar para receber notificações por email para “Todas as atividades” ou “Alertas de segurança”. Além disso, ao abrir a guia Segurança de um repositório com um ou mais alertas de campanha, você poderá ver o nome da campanha na barra lateral da exibição.

Você pode participar de uma campanha de segurança corrigindo um ou mais dos alertas escolhidos para a campanha.

Quais são os benefícios de corrigir alertas em uma campanha

Além do benefício de remover um problema de segurança importante do código, os alertas em uma campanha de segurança têm vários outros benefícios, em comparação com a correção de outro alerta no repositório.

  • Você tem um contato na equipe de segurança com o qual colaborar.
  • Você sabe que está corrigindo um alerta de segurança que é importante para a empresa.
  • Você tem o potencial de ter acesso a materiais de treinamento segmentados.
  • Você não precisa solicitar uma sugestão da GitHub Copilot Autofix, pois ela já está disponível como ponto de partida.
  • Se você tiver acesso ao GitHub Copilot Chat, poderá fazer perguntas sobre o alerta e a correção sugerida.
  • Você aprimora e demonstra seus conhecimentos sobre codificação segura.

Como ver os alertas em uma campanha de segurança

Quando uma campanha direciona alertas de segurança em um repositório no qual você tem permissão de escrita, você pode navegar até a lista de alertas do repositório na campanha.

  • Exiba a guia Segurança do repositório e selecione uma das campanhas no título “Campanhas” na barra lateral.
  • Se você tiver habilitado as notificações por email para “Todas as atividades” ou “Alertas de segurança” no repositório, selecione Exibir campanha de segurança no email da campanha.
  • Caso tenha permissão de escrita a mais de um repositório na organização, exiba a guia Segurança da organização e selecione uma das campanhas no título “Campanhas” na barra lateral.

Essa exibição mostra os alertas no repositório atual para uma campanha chamada “Injeção de SQL (CWE-89)” (realçado em cinza) que é gerenciada por “octocat” (contornado em laranja-escuro).

Captura de tela da exibição da campanha do repositório com a campanha “Injeção de SQL (CWE-89)” exibida e o “Gerente de campanha” contornado em laranja-escuro.

Como corrigir alertas em uma campanha de segurança

Caso deseje ver o código que disparou o alerta de segurança e a correção sugerida, selecione o nome do alerta para mostrar a exibição de alertas.

  1. Quando estiver pronto para trabalhar em um ou mais alertas de segurança, verifique se ninguém mais está trabalhando neles. Na exibição de campanha, os ícones do Git são exibidos nos alertas em que uma correção já possa estar em andamento. Selecione um ícone para ver o trabalho vinculado:

    • uma pull request de rascunho em aberto pode corrigir esse alerta.
    • uma pull request em aberto pode corrigir esse alerta.
    • um branch pode conter alterações para corrigir esse alerta.

  2. Na exibição de campanha do repositório, selecione os alertas que deseja corrigir.

  3. Conecte os alertas de segurança a um branch de trabalho:

    • Se, pelo menos, uma sugestão de “Correção automática” estiver disponível para os alertas selecionados, selecione Fazer commit da correção automática e faça commit das alterações em um branch novo ou existente.
    • Se nenhuma sugestão de correção automática estiver disponível para os alertas selecionados, selecione Criar branch para criar um branch em que você trabalhará na correção dos alertas.

  4. Quando terminar de corrigir os alertas e testar as soluções, crie uma pull request para as alterações e solicite uma revisão do gerente de campanha.

Tip

Se tiver permissão de gravação em mais de um repositório na campanha, selecione o link na caixa “Progresso da campanha” no repositório para mostrar a exibição de nível da organização da campanha. Quando você abre um repositório por meio dessa exibição, a exibição de alertas da campanha é exibida.

Como usar o GitHub Copilot Chat para codificação segura

Caso tenha acesso ao Copilot Chat, faça perguntas à IA sobre a vulnerabilidade, a correção sugerida e como testar se a correção é abrangente.

Para aproveitar ao máximo o Copilot Chat quando estiver trabalhando na segurança do código, considere:

  1. Indexar seus repositórios para fornecer ao Copilot Chat mais contexto para responder às perguntas sobre o código do repositório. Confira “Indexar repositórios para o Copilot Chat”.
  2. Pedir explicitamente ao Copilot Chat para usar a habilidade do GitHub Advanced Security a fim de responder às suas perguntas, por exemplo: “Use a habilidade do GitHub Advanced Security para explicar como esse alerta introduz uma vulnerabilidade no código”.