什么是安全活动
安全活动是在存储库的默认分支中检测到的一组安全警报,由组织所有者或安全管理员选择进行修正。
可通过修复某个安全活动中包含的一个或多个警报来参与活动。
参与安全活动的好处
除了有利于解决组织代码库中的重要安全问题外,与修复仓库中的其他警报相比,安全活动中的警报还有多种其他好处。
- 在安全团队中,有一位活动管理者可以与你协作,并且有一个专门的联系人链接用于讨论活动相关事宜。
- 你知道你要修复的是对公司很重要的安全警报。
- 你可能有权访问有针对性的培训材料。
- 无需请求 GitHub Copilot Autofix 建议,因为它已作为起点提供。
- 如果你有权访问 GitHub Copilot Chat,可以提出有关警报和建议修复方法的问题。
- 你正在完善并演示有关安全编码的知识。
采用一些关键最佳做法可帮助你成功参与活动。
随时获取最新信息
通知设置
要接收有关参考中安全活动的电子邮件更新,请确保:
- 关注你有推送权限的所有仓库****。
- 订阅“所有活动”或“安全警报”的通知****。
查看活动详细信息
打开带有一条或多条活动警报的仓库的“Security”选项卡时,视图边栏会显示活动名称****。 单击活动名称可查看活动中包含的警报列表,以及有关活动进展的摘要信息。
活动生成的 GitHub Issues
某些活动会为每个仓库自动创建 GitHub Issues,其中包含活动负责人、联系 URL 和截止日期等信息。
你可以将此议题作为日常工作流的一部分,来规划并跟踪活动,例如:
- 将议题添加到项目板
- 添加被分配者
- 创建子议题或任务列表
查找上下文
安全团队可以在参与活动之前为你提供特定的培训,以便你能够处理活动中包含的警报。
如果没有提供正式的培训计划,可以请求活动经理共享有关以下方面的信息:
- 活动中包含的安全漏洞类型
- 漏洞修复示例
- 测试修补程序的方法
此外,还有一些外部资源可以帮助你了解常见的安全问题:
- OWASP Foundation****:提供许多关于常见漏洞的学习资源,详见关于 OWASP Foundation。
- MITRE 公司****:维护常见漏洞的详细列表,详见关于 CWE。
按相似警报分组
修复活动中的安全警报时,将相似的安全警报分组处理可以帮助你: 更深入地理解底层问题, 提高解决该类警报的信心与效率,简化后续警报修复过程并加快修复速度。
利用 Copilot
Copilot Autofix
如果警报包含在活动中,Copilot Autofix 会自动被触发,并在可能的情况下自动生成修复建议。 你可以提交建议的修复,以解决该警报,然后验证修复后的代码库是否仍然通过持续集成测试 (CI)。 请参阅“修复安全活动中的警报”。
Copilot Chat
你可以向 Copilot Chat 提问,获取关于漏洞理解、修复建议以及如何测试修复是否全面的帮助。 若要访问 Copilot Chat,请导航到 https://github.com/copilot。
或者,在查看某个具体警报时,单击页面右上角的 Copilot Chat 图标 (),打开聊天窗口,然后直接询问 Copilot 有关该警报的问题。
例如:
Explain how this alert introduces a vulnerability into the code.
Explain how this alert introduces a vulnerability into the code.
如果你尚未通过组织或企业获得 Copilot Chat 的使用权限,可注册 GitHub Copilot 免费版。 有关详细信息,请参阅“开始使用 Copilot 计划”。
提出问题
安全活动通常会包含一个联系 URL,可能链接至活动负责人、开放论坛(例如 GitHub 讨论区)或提供相关资源的网站。 应使用此空间来询问有关活动或特定警报的问题、查找有用的资源以及进行知识分享。
查找练习方式 URL:
- 打开仓库的“Security”选项卡****。
- 在左侧边栏上,单击你参与的活动的名称。
- 在活动跟踪页上,在活动负责人姓名右侧,单击“”****。