Beheben von Warnungen in einer Sicherheitskampagne

Lerne, wie du Alarme in einer Sicherheitskampagne findest und behebst.

Wer kann dieses Feature verwenden?

Benutzer*innen mit Schreibzugriff

Organizations on GitHub Team or GitHub Enterprise Cloud with GitHub Secret Protection or GitHub Code Security enabled

In diesem Artikel

Anzeigen von Warnungen in einer Sicherheitskampagne

Wenn eine Kampagne auf Sicherheitswarnungen in einem Repository abzielt, auf das du Schreibzugriff hast, kannst du in der Kampagne zur Liste der Repositorybenachrichtigungen navigieren.

  • Zeigen Sie die Security and quality Registerkarte für das Repository an, und klicken Sie in der Randleiste auf eine der Kampagnen unter "Kampagnen".
  • Wenn Sie Schreibzugriff auf mehrere Repositorys in der Organisation haben, zeigen Sie die Security and quality Registerkarte für die Organisation an, und klicken Sie in der Randleiste auf eine der Kampagnen unter "Kampagnen".
  • Klicke alternativ in der E-Mail-Benachrichtigung der Kampagne auf View security campaign.

In diese Ansicht werden die Warnungen im aktuellen Repository für eine Kampagne namens „SQL injection (CWE-89)“ (grau hervorgehoben) angezeigt, die von „octocat“ (dunkelorange umrandet) verwaltet wird.

Screenshot der Repository-Kampagnenansicht mit der angezeigten Kampagne „SQL-Injection (CWE-89)“ und dem dunkelorange umrandeten „Kampagnenmanager“.

Beheben von Warnungen in einer Sicherheitskampagne

Wenn du den Code anzeigen möchtest, der die Sicherheitswarnung ausgelöst hat, und den vorgeschlagenen Fix, klicke auf den Namen der Warnung, um die Warnungsansicht anzuzeigen.

  1. Wenn du bereit bist, an mindestens einer Sicherheitswarnung zu arbeiten, stelle sicher, dass noch niemand an diesen Warnungen arbeitet. In der Kampagnenansicht werden Git-Symbole auf Warnungen angezeigt, bei denen ein Fix möglicherweise bereits ausgeführt wird. Klicke auf ein Symbol, um die verknüpfte Arbeit anzuzeigen: * Eine offene Entwurfs-Pull-Anforderung kann diese Warnung beheben. * Eine offene Pull-Anforderung kann diese Warnung beheben. * ein Branch kann Änderungen enthalten, um diese Warnung zu beheben.

  2. Wählen Sie in der Kampagnenansicht für das Repository die Warnungen aus, die Sie korrigieren möchten.

  3. Verbinden Sie die Sicherheitswarnungen mit einem funktionierenden Branch:

    • Wenn mindestens ein „Autofix“-Vorschlag für die ausgewählten Warnungen verfügbar ist, klicken Sie auf Autofix committen und committen Sie die Änderungen entweder in einen neuen Branch oder in einen bestehenden Branch.
    • Wenn keine AutoFix-Vorschläge für die ausgewählten Warnungen verfügbar sind, klicken Sie auf "Neue Verzweigung erstellen", um eine neue Verzweigung zu erstellen, in der Sie an der Behebung der Warnungen arbeiten.

  4. Wenn du die Behebung der Warnungen und das Testen deiner Lösungen abgeschlossen hast, erstelle einen Pull Request für deine Änderungen, und fordere vom Kampagnen-Manager einen Review an.

Tipp

Wenn du über Schreibberechtigungen für mehrere Repositorys in der Kampagne verfügst, klicke im Repository auf den Link im Feld „Campaign progress“, um die Ansicht der Kampagne auf Organisationsebene anzuzeigen. Wenn du ein Repository aus dieser Ansicht öffnest, wird die Kampagnenwarnungsansicht angezeigt.

Zuweisen von Warnungen zu Copilot Codierungsassistent

Hinweis

Diese Option befindet sich derzeit in der öffentlichen Vorschau und kann geändert werden. Copilot Codierungsassistent muss im Repository verfügbar sein.

Wenn ein Autofix generiert wurde, können Sie eine oder mehrere Warnungen Copilot zuweisen. Copilot erstellt Pullanforderungen, wendet die Autofixe an und fügt Sie als angeforderten Prüfer hinzu.

Indem mehrere Benachrichtigungen zugewiesen werden, wendet Copilot Codierungsassistent die Fixes an und durchläuft den Code, um die Änderungen zu validieren, nach neuen Sicherheitsproblemen zu suchen und sicherzustellen, dass keine Zusammenführungskonflikte auftreten.

  1. Wählen Sie in der Kampagnenansicht für das Repository die Warnungen aus, die Sie zuweisen möchten.
  2. Klicken Sie oberhalb der Liste der Warnungen auf Dem Copilot zuweisen.

Innerhalb von 30 Sekunden wird ein Pull-Request geöffnet, um die Sicherheitsanfälligkeiten zu beheben, die Ihnen und Copilot zugewiesen sind. Die Pullanforderung enthält eine Zusammenfassung der Korrekturen und Details der vorgenommenen Änderungen. Nach der Erstellung wird die Pullanforderung neben der Warnung angezeigt.

Verwendung GitHub Copilot Gespräch für sicheres Codieren

Wenn Sie Zugriff auf Copilot-Chat haben, können Sie der KI Fragen zur Sicherheitsanfälligkeit, zur vorgeschlagenen Lösung und dazu stellen, wie man testen kann, ob die Lösung umfassend ist.

Tipp

Die Fähigkeit von Copilot, Fragen in natürlicher Sprache wie diese im Kontext eines Repository zu beantworten, wird optimiert, wenn der Index der semantischen Codesuche für das Repository auf dem neuesten Stand ist. Weitere Informationen finden Sie unter Indizieren von Repositories für GitHub Copilot.