Informationen zu Sicherheitskampagnen

Du kannst Sicherheitswarnungen im großen Stil beheben, indem du Sicherheitskampagnen erstellst und mit Entwicklern zusammenarbeitest, um das Sicherheitsbacklog zu reduzieren.

Wer kann dieses Feature verwenden?

Organizations on GitHub Team with GitHub Secret Protection or GitHub Code Security enabled

In diesem Artikel

Nachdem du Sicherheitswarnungen identifiziert hast, besteht der nächste Schritt darin, die dringendsten Warnungen zu identifizieren und zu korrigieren. Mit Sicherheitskampagnen können Warnungen gruppiert und für Entwickelnde freigegeben werden, wodurch du Sicherheitsrisiken im Code und alle offengelegten Geheimnisse gemeinsam beheben kannst.

Sicherheitskampagnen in der täglichen Arbeit

Sie können Sicherheitskampagnen nutzen, um viele Ihrer Ziele als Sicherheitsverantwortlicher zu unterstützen.

  • Verbessern des Sicherheitsstatus des Unternehmens durch anleiten von Arbeiten zum Beheben von Warnungen
  • Setze das Sicherheitstraining für Entwickelnde durch, indem du eine Kampagne mit verwandten code scanning-Warnungen erstellst, um diese gemeinsam zu beheben.
  • Stelle sicher, dass secret scanning-Warnungen innerhalb deines Wartungsziels aufgelöst werden.
  • Aufbauen von Kollaborationsbeziehungen zwischen dem Sicherheitsteam und Entwicklern zum Fördern der gemeinsamen Verantwortlichkeit für Sicherheitswarnungen
  • Schaffen von Klarheit für Entwickler bei den dringendsten Warnungen, um diese zu beheben und die Behebung zu überwachen.

Vorteile von Sicherheitskampagnen

Eine Sicherheitskampagne bietet viele Vorteile gegenüber anderen Möglichkeiten, das Beheben von Sicherheitswarnungen durch Entwickler zu fördern. Im Folgenden ist ein Beispiel gezeigt:

  • Entwickelnde werden über alle Sicherheitskampagnen benachrichtigt, an denen sie mitwirken können.
  • Entwickler können die von dir zum Beben hervorgehobenen Warnungen sehen, ohne ihre normalen Workflows zu verlassen.
  • Für jede Kampagne gibt es einen benannten Ansprechpartner für Fragen, Feedback und Zusammenarbeit.
  • Für code scanning-Warnungen werden GitHub Copilot Autofix automatisch ausgelöst, um eine Lösung vorzuschlagen.
  • Für code scanning und secret scanning können Sie Warnungen in einer Kampagne Benutzern mit Schreibzugriff oder Copilot Codierungsassistent zuweisen, um automatisch Pull Requests zu generieren, die Fixes enthalten.

Du kannst eine der Vorlagen zum Auswählen einer Reihe zusammenhängender Warnungen für eine Kampagne verwenden. Auf diese Weise können Entwickler auf dem Wissen vom Beheben einer Warnung aufbauen und es für weitere Warnungen nutzen. So werden sie ermutigt, mehrere Warnungen zu beheben.

Darüber hinaus kannst du die REST-API verwenden, um Kampagnen effizienter und im großen Stil zu erstellen und mit ihnen zu interagieren. Weitere Informationen finden Sie unter REST-API-Endpunkte für Sicherheitskampagnen.

Unterschiede zwischen Code- und Geheimniskampagnen

Hinweis

Kampagnen für secret scanning-Warnungen befinden sich derzeit in der öffentliche Vorschau. Änderungen sind vorbehalten.

Der Erstellungsworkflow ist für alle Kampagnen identisch, du wirst jedoch einige Unterschiede bei der Nachverfolgung und Entwicklererfahrung feststellen.

EigentumCodeGeheim
Warnungen, die zur Aufnahme verfügbar sind Nur Standardbranch
Probleme bei der Repositorynachverfolgung
Entwicklerbenachrichtigungen Erfordert Schreibzugriff auf das Repository Erfordert Zugriff zum Anzeigen auf die Warnungsliste
Warnungszuweisung Kann Berechtigungen erhöhen
Unterstützung für automatische Wartung GitHub Copilot Autofix

Informationen zum Zuweisen von Benachrichtigungen zu Benutzern und Copilot Codierungsassistent

Du kannst jedem Benutzer mit Schreibzugriff auf das Repository eine code scanning- oder secret scanning-Warnung zuweisen.

Wenn die zugewiesene Person einer secret scanning-Warnung die Warnungsliste nicht anzeigen kann, werden ihre Berechtigungen für diese Warnung vorübergehend erhöht. Alle zusätzlichen Berechtigungen werden widerrufen, wenn die Zuweisung zur Warnung aufgehoben wird.

GitHub benachrichtigt Benutzer:

  • Wenn sie einer Warnung zugeordnet werden
  • Wenn diese Warnung ausgeblendet wird

Für code scanning können Sie einige dieser Operationen auch programmatisch über die REST-API durchführen, z. B. das Zuweisen oder Aufheben der Zuweisung von Benutzern zu Benachrichtigungen und das Filtern von Benachrichtigungen nach dem Bearbeiter. Weitere Informationen findest du in der Dokumentation zur REST-API unter REST-API-Endpunkte für die Codeüberprüfung. Darüber hinaus sind Webhooks verfügbar, um Sie zu benachrichtigen, wenn eine Warnung zugewiesen oder eine Aufgabe entfernt wird.

Wenn ein Autofix für Warnungen in einer Sicherheitskampagne generiert wurde, können Sie diese Warnungen auswählen und diese dem Copilot Codierungsassistent zuweisen. Copilot erstellt einen Pull-Request und fügt Sie als angeforderten Reviewer hinzu. Weitere Informationen findest du unter Beheben von Warnungen in einer Sicherheitskampagne.

Nächste Schritte

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale)

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)