Práticas recomendadas para participar de uma campanha de segurança

Saiba como você pode participar com êxito de uma campanha de segurança e como ela pode beneficiar sua carreira, bem como seu código.

Quem pode usar esse recurso?

Usuários com com acesso para gravação

Organizações no GitHub Team com o GitHub Code Security habilitado

Neste artigo

O que é uma campanha de segurança

Uma campanha de segurança é um grupo de alertas de segurança, detectados nos branches padrão de repositórios, escolhidos por um proprietário da organização ou pelo gerente de segurança para correção.

Você pode participar de uma campanha de segurança corrigindo um ou mais dos alertas incluídos nela.

Quais são os benefícios da participação na campanha

Além do benefício de remover um problema de segurança importante da base de código de sua organização, os alertas em uma campanha de segurança têm vários outros benefícios, em comparação com a correção de outro alerta no repositório.

  • Você tem um gerente de campanha na equipe de segurança para colaborar e um link de contato específico para discutir as atividades da campanha.
  • Você sabe que está corrigindo um alerta de segurança que é importante para a empresa.
  • Você tem o potencial de ter acesso a materiais de treinamento segmentados.
  • Você não precisa solicitar uma sugestão do Correção automática do GitHub Copilot, pois ela já está disponível como ponto de partida.
  • Se você tiver acesso ao GitHub Copilot Chat, poderá fazer perguntas sobre o alerta e a correção sugerida.
  • Você aprimora e demonstra seus conhecimentos sobre codificação segura.

Adotar algumas práticas recomendadas importantes pode ajudar você a participar com êxito de uma campanha.

Continue informado

Configurações de notificação

Para receber atualizações por email sobre campanhas de segurança em repositórios aos quais você tem acesso para gravação, verifique se você:

  • Inspeciona todos os repositórios a que tem acesso para gravação.
  • Assina notificações para "Todas as atividades" ou "Alertas de segurança".

Exibir detalhes da campanha

Ao abrir a guia Segurança de um repositório com um ou mais alertas de campanha, você poderá ver o nome da campanha na barra lateral da exibição. Clique no nome da campanha para ver a lista de alertas incluídos nela, bem como informações resumidas sobre como a campanha está progredindo.

GitHub Issues gerados pela campanha

Algumas campanhas criam automaticamente GitHub Issues para cada repositório, que detalha os gerentes da campanha, a URL de contato e a data de conclusão.

Use esse issue para planejar e acompanhar o trabalho da campanha como parte de seus fluxos de trabalho habituais, como:

  • Adicionar o issue a quadros de projeto
  • Adicionar destinatários
  • Criar sub-issues ou listas de tarefas

Buscar contexto

Sua equipe de segurança pode lhe fornecer treinamento específico antes de sua participação em uma campanha, para que você se sinta equipado para lidar com os alertas incluídos na campanha.

Se nenhum programa de treinamento formal estiver disponível, você poderá solicitar que o gerente da campanha compartilhe informações sobre:

  • Tipos de vulnerabilidades de segurança incluídas na campanha
  • Exemplos de como corrigi-los
  • Como testar as correções

Além disso, há recursos externos para entender problemas de segurança comuns:

  • A OWASP Foundation fornece muitos recursos para aprender sobre as vulnerabilidades mais comuns; confira Sobre a OWASP Foundation.
  • A MITRE Corporation mantém uma lista detalhada de pontos fracos comuns; confira Sobre a CWE.

Agrupar alertas semelhantes

Ao corrigir alertas de segurança como parte de uma campanha, pode ser útil agrupar e corrigir alertas semelhantes juntos. Fazendo isso, você pode passar a ter uma compreensão mais profunda do problema subjacente. À medida que você ganha confiança e eficiência na resolução de um tipo específico de alerta, fica mais fácil e rápido resolver alertas subsequentes.

Usar o Copilot

Correção automática do Copilot

O Correção automática do Copilot é acionado automaticamente para alertas incluídos em uma campanha, o que significa que, sempre que possível, as correções são geradas automaticamente para você. Você pode fazer commit da correção sugerida para resolver o alerta e verificar se o teste de CI (integração contínua) para a base de código ainda está sendo aprovado. Confira Como corrigir alertas em uma campanha de segurança.

Copilot Chat

Você pode pedir ao Copilot Chat ajuda para entender a vulnerabilidade, a correção sugerida e como testar se a correção é abrangente. Para acessar o Copilot Chat, navegue até https://github.com/copilot.

Como alternativa, ao exibir um alerta específico, no canto superior direito da página, clique no ícone Copilot Chat () para abrir uma janela de chat e faça ao Copilot perguntas sobre o alerta.

Por exemplo:

Text

Explain how this alert introduces a vulnerability into the code.

Se você ainda não tem acesso ao Copilot Chat por meio de sua organização, pode se inscrever no GitHub Copilot Free. Para saber mais, confira Introdução a um plano do Copilot.

Faça perguntas

Uma campanha de segurança geralmente inclui uma URL de contato, que pode levar você ao gerente da campanha, a um fórum aberto (como uma discussão do GitHub) ou a um site de recursos. Use esse espaço para fazer perguntas sobre a campanha ou alertas específicos, encontrar recursos úteis e compartilhar conhecimentos.

Para localizar a URL de contato:

  1. Abra a guia Security do repositório.
  2. Na barra lateral esquerda, clique no nome da campanha da qual está participando.
  3. Na página de acompanhamento da campanha, à direita do nome do gerente da campanha, clique em .

Próximas etapas