Создание кампаний безопасности и управление ими

Создание кампании безопасности

Кампании безопасности создаются и управляются со Security and quality вкладки вашей организации.

Вы выбираете оповещения, которые вы хотите включить в кампанию, с помощью следующих действий:

•         **Шаблоны кампании: шаблоны** кампании содержат фильтры для наиболее распространенных выборов оповещений. 
          Для кодовых кампаний все они также включают требование, GitHub Copilot Autofix поддерживаемое для всех типов оповещений (то есть, `autofix:supported`).
  

•         **Пользовательские фильтры: создание кампании с помощью настраиваемых фильтров позволяет определить собственные критерии выбора оповещений** для кампании и настроить вашу кампанию в соответствии с конкретными потребностями вашей организации.
  

Кроме того, rest API можно использовать для создания и взаимодействия с кампаниями более эффективно и в масштабе. Дополнительные сведения см. в разделе Конечные точки REST API для кампаний безопасности.

Создать кампанию

1. На GitHubперейдите на главную страницу организации.
2. Под названием вашей организации нажмите вкладку Security and quality .
3. На левой боковой панели щелкните Кампании.
4. Нажмите «Создать кампанию », затем выберите один из следующих вариантов:
   • Нажмите «From template», затем выберите заранее определённый шаблон кампанииCode или Secrets из списка.
   • Щелкните "Из фильтра сканирования кода" или "Из секретных фильтров сканирования", а затем добавьте фильтры, чтобы определить подмножество оповещений для вашей кампании. Примеры полезных фильтров.
5. Просмотрите набор оповещений, которые будут включены в кампанию, и настройте фильтры по мере необходимости. Убедитесь, что вы выбрали 1000 оповещений или меньше.
6. Если вы удовлетворены областью кампании, нажмите кнопку "Сохранить как", а затем выберите, хотите ли вы создать проект кампании, или перейти непосредственно к завершению сведений о кампании перед публикацией:
   • Если вы планируете изучить масштаб и детали кампании перед запуском или получить обратную связь по её реализации, нажмите «Черновик кампании».
   • Если вы планируете опубликовать кампанию и не нуждаетесь в этапе проверки, нажмите «Опубликовать кампанию».
7. При необходимости, если вы решили создать проект кампании, изменить, сохранить и просмотреть сведения о кампании:
   • Измените "Имя кампании" и "Краткое описание", чтобы соответствовать потребностям вашей кампании и ссылаться на любые ресурсы, поддерживающие кампанию.
   • Определите дату выполнения кампании и выберите один или несколько "Менеджеров кампании" в качестве основных контактов для кампании. Руководители кампании должны быть пользователями или командами, которые являются владельцами или руководителями безопасности в организации.
   • Опционально предоставить «Контактную ссылку», например, ссылку на канал GitHub Discussions связи или другой канал связи для связи с менеджерами кампаний.
   • Щелкните Сохранить черновик.
   • Когда вы будете готовы опубликовать кампанию, в правом верхнем углу нажмите кнопку "Рецензирование" и " Опубликовать".
8. На странице "Публикация кампании" просмотрите или измените сведения о кампании:
   • Имя кампании
   • Краткое описание
   • Срок
   • Менеджеры кампании
   • Ссылка на контакт
9. По желанию, для кампаний «Код», чтобы создать задачу кампании в каждом репозитории, входящем в кампанию, на странице «Опубликовать кампанию» в разделе «Автоматизации» выберите галочку рядом с «Создать задачи для репозиториев NUMBER в этой кампании».
10. Нажмите кнопку " Опубликовать кампанию".

Создается кампания безопасности и отображается страница обзора кампании.

          <a href="https://docs.github.io/success-test/yes.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline">
          <span>Да</span></a><a href="https://docs.github.io/success-test/no.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline"><span>нет</span></a>

Примеры полезных фильтров

Все фильтры шаблонов, используемые is:open для включения только оповещений, которые необходимо устранить. Для code scanning оповещений они также должны присутствовать в стандартной ветке.

Дополнительные фильтры по умолчанию для code scanning оповещений:

•         `autofilter:true` включает только оповещения, которые отображаются в коде приложения. 
  

•         `autofix:supported` включает только оповещения, которые относятся к правилам, поддерживаемым для GitHub Copilot Autofix.
  

Дополнительные сведения о фильтрации оповещений см. в разделе [AUTOTITLE и Проведение кампании по безопасности по исправлению оповещений в масштабах](/code-security/security-overview/filtering-alerts-in-security-overview).

          Code scanning Фильтры оповещений

Помимо основных фильтров, обычно требуется добавить фильтр, чтобы ограничить результаты определенным именем правила, серьезностью или тегом.

•         `is:open autofilter:true autofix:supported rule:java/log-injection` показывать только оповещения о введении журналов в Java коде. См [. раздел AUTOTITLE](/code-security/code-scanning/reference/code-ql-built-in-queries).
  

•         `is:open autofilter:true autofix:supported tag:external/cwe/cwe-117` Для отображения оповещений для "CWE 117: неправильное нейтрализация выходных данных для журналов". Это включает инъекцию логов в Java и других языках.
  

•         `is:open autofilter:true autofix:supported severity:critical` для отображения только оповещений с серьезностью безопасности критически важных.
  

          Secret scanning Фильтры оповещений

Помимо основных фильтров, обычно требуется добавить фильтр, чтобы ограничить результаты определенным поставщиком, типом секретов или секретами, которые обошли защиту push-уведомлений (только для корпоративных учетных записей).

•         `is:open provider:azure` показывает только оповещения для поставщика токенов Azure.
  

•         `is:open secret-type:azure_ai_services_key,azure_cognitive_services_key` для отображения только оповещений для маркеров "azure_ai_services_key" и "azure_cognitive_services_key". См [. раздел AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#supported-secrets).
  

•         `is:open props.BusinessPriority:Urgent` Для отображения только оповещений для репозиториев, где настраиваемое свойство BusinessPriority имеет значение "Срочно". См [. раздел AUTOTITLE](/organizations/managing-organization-settings/managing-custom-properties-for-repositories-in-your-organization).
  

Запуск кампании по безопасности

Когда вы создаёте кодовую кампанию, все оповещения автоматически отправляются GitHub Copilot Autofix для обработки по мере возможности. Это гарантирует, что предложения для оповещений, найденных в запросах на вытягивание, не задерживаются новой кампанией. В большинстве случаев следует найти, что все предложения, которые можно создать, готовы в течение часа. В напряженные периоды дня или для особенно сложных оповещений это займет больше времени.

Как разработчики знают, что кампания по безопасности началась

Новая кампания отображается в боковой панели Security and quality вкладки для каждого включённого репозитория.

•         **Кампании кода: все пользователи** с **доступом на запись** в репозиторий, включенный в кампанию, уведомляют.
  

•         **Секретные кампании: все пользователи с доступом, чтобы просмотреть представление списка оповещений** для репозитория, включенного в кампанию, уведомляется.
  

Дополнительные сведения о интерфейсе разработчика см. в разделе Устранение оповещений в кампании безопасности.

Как повысить вовлеченность в кампанию по обеспечению безопасности

Лучший способ повысить взаимодействие с кампанией — сделать это общедоступным для команд, с которыми вы хотите сотрудничать для исправления оповещений. Например, вы можете работать с инженерами, чтобы выбрать более спокойный период разработки для запуска серии кампаний безопасности, каждый из которых ориентирован на другой тип оповещений, с связанными учебными сеансами. Дополнительные идеи см. в разделе Проведение кампании по безопасности по исправлению оповещений в масштабах.

Изменение сведений о кампании безопасности

Вы можете изменить имя, описание, дату выполнения и менеджер для кампании.

1. На GitHubперейдите на главную страницу организации.
2. Под названием вашей организации нажмите вкладку Security and quality .
3. На левой боковой панели щелкните Кампании.
4. В списке кампаний щелкните имя кампании, чтобы отобразить представление отслеживания кампании.
5. В строке названия кампании нажмите и выберите «Редактировать кампанию».
6. В диалоговом окне "Изменить кампанию" внесите изменения и нажмите кнопку "Сохранить изменения".

Изменения вносятся немедленно.

Закрытие, повторное открытие и удаление кампаний безопасности

Существует ограничение в 10 активных кампаний. Когда кампания завершится или если вы хотите приостановить ее, закройте ее. Вы по-прежнему можете просмотреть все закрытые кампании в списке "Закрытые" кампании, и вы можете повторно открыть закрытую кампанию.

Если вам не нужно хранить кампанию или ее данные, ее можно удалить.

Закрытие кампании

1. На GitHubперейдите на главную страницу организации.
2. Под названием вашей организации нажмите вкладку Security and quality .
3. На левой боковой панели щелкните Кампании.
4. Справа от кампании, которую вы хотите закрыть, нажмите , затем выберите Закрыть кампанию (Закрыть кампанию).

Повторное открытие закрытой кампании

1. На GitHubперейдите на главную страницу организации.
2. Под названием вашей организации нажмите вкладку Security and quality .
3. На левой боковой панели щелкните Кампании.
4. Над списком кампаний нажмите кнопку "Закрыть ", чтобы просмотреть список закрытых кампаний.
5. Справа от кампании, которую вы хотите открыть заново, нажмите , затем выберите «Возобновить открытие кампании».

Удаление кампании

1. На GitHubперейдите на главную страницу организации.
2. Под названием вашей организации нажмите вкладку Security and quality .
3. На левой боковой панели щелкните Кампании.
4. Справа от кампании, которую хотите удалить, нажмите , затем выберите Удалить кампанию.

Дальнейшие шаги

•         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/tracking-security-campaigns)