Priorisieren von Dependabot- und Codeüberprüfungswarnungen mithilfe des Produktionskontexts

Konzentrieren Sie die Behebung auf das tatsächliche Risiko, indem Sie auf Dependabot und code scanning Warnungen in Artefakten, die in der Produktion bereitgestellt werden, abzielen und dabei Metadaten aus externen Registries wie JFrog Artifactory, Ihren eigenen CI/CD-Workflows oder von Microsoft Defender for Cloud verwenden.

In diesem Artikel

Anwendungssicherheitsmanager (AppSec) werden häufig von einer hohen Anzahl von Warnungen überfordert, von denen viele möglicherweise kein echtes Risiko darstellen, da der betroffene Code nie zur Produktion führt. Wenn du deinen Warnungen den Produktionskontext zuordnen, kannst du Sicherheitsrisiken filtern und priorisieren, die sich auf Artefakte auswirken, die tatsächlich für Produktionsumgebungen genehmigt wurden. Dadurch kann sich dein Team auf die wichtigsten Sicherheitsrisiken konzentrieren und dabei Rauschen reduzieren und deinen Sicherheitsstatus verbessern.

1. Zuordnen von Artefakten zum Produktionskontext

Die GitHub linked artifacts page bietet Ihnen die Möglichkeit, über die REST-API oder eine Partnerintegration Produktionskontext für die Builds Ihres Unternehmens bereitzustellen. Teams können diesen Kontext dann nutzen, um Dependabot- und code scanning-Warnungen zu priorisieren. Weitere Informationen finden Sie unter Informationen zu verknüpften Artefakten.

Um den Produktionskontext bereitzustellen, sollten Sie Ihr System folgendermaßen konfigurieren:

  • Aktualisieren Sie Storage-Datensätze in der linked artifacts page, wenn ein Artefakt in ein von der Produktion genehmigtes Paket Repository hochgestuft wird.
  • Aktualisieren Sie Bereitstellungsdatensätze , wenn ein Artefakt in einer Produktionsumgebung bereitgestellt wird.

GitHub verarbeitet diese Metadaten und verwendet sie zur Unterstützung von Warnungsfiltern, wie artifact-registry-url und artifact-registry aus Speicherdatensätzen sowie has:deployment und runtime-risk aus Bereitstellungsdatensätzen.

Weitere Informationen zum Aktualisieren von Datensätzen finden Sie unter ** Speicher- und Bereitstellungsdaten in das linked artifacts page hochladen.

2. Verwenden von Produktionskontextfiltern

Produktionskontextfilter werden in Warnungsansichten und Sicherheitskampagnenansichten auf der Registerkarte " Sicherheit " verfügbar gemacht.

  •         **Dependabot alerts Ansicht**: Siehe [Anzeigen Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **Code scanning Benachrichtigungsansicht**: Siehe [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Ansicht "Sicherheitskampagne"**: Siehe [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Nachdem die Warnungsliste angezeigt wurde, verwenden Sie die artifact-registry-url Oder artifact-registry Filter in Den Organisationsansichten, um sich auf Sicherheitsrisiken zu konzentrieren, die Artefakte betreffen, die in der Produktion vorhanden sind.

  • Für Ihr eigenes Artefakt-Repository, das unter my-registry.example.comgehostet wird, würden Sie Folgendes verwenden:

    Text
    artifact-registry-url:my-registry.example.com

  • Wenn Sie JFrog Artifactory verwenden, können Sie artifact-registry ohne weitere Einrichtung in GitHub nutzen.

    Text
    artifact-registry:jfrog-artifactory

Sie können auch die has:deployment- und runtime-risk-Filter verwenden, um sich auf Sicherheitsrisiken zu konzentrieren, die in Bereitstellungsmetadaten als in der Bereitstellung befindlich oder als Laufzeitsicherheitsrisiken gilt. Diese Daten werden automatisch erzeugt, wenn Sie MDC verbunden haben. Beispiel:

  • Um sich auf Warnungen im bereitgestellten Code zu konzentrieren, der für das Internet verfügbar gemacht wird, verwenden Sie Folgendes:

    Text
    has:deployment AND runtime-risk:internet-exposed

Sie können diese Produktionskontextfilter auch mit anderen Filtern wie EPSS kombinieren:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Beheben von Warnungen im Produktionscode

Nachdem Sie die Warnungen identifiziert haben, die Ihren Produktionscode auf Ausbeutungsrisiko setzen, müssen Sie sie dringend beheben. Wenn möglich, verwenden Sie die Automatisierung, um die Barriere zur Behebung zu senken.

  •         **Dependabot alerts:** Verwenden Sie automatisierte Pull-Requests für Sicherheitskorrekturen. Weitere Informationen findest du unter [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **Code scanning Alarme:** Mithilfe von Copilot Autofix gezielte Kampagnen erstellen. Weitere Informationen findest du unter [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)