Priorización de alertas de análisis de código y Dependabot mediante el contexto de producción

Centre la corrección en el riesgo real, dirigiendo las alertas Dependabot y code scanning a los artefactos desplegados en producción, usando metadatos de registros externos como JFrog Artifactory, sus propios flujos de trabajo de CI/CD o de Microsoft Defender for Cloud.

En este artículo

Los administradores de seguridad de aplicaciones (AppSec) suelen estar abrumados por un gran volumen de alertas, muchas de las cuales pueden no representar un riesgo real porque el código afectado nunca llega a producción. Al asociar el contexto de producción a las alertas, puedes filtrar y priorizar las vulnerabilidades que afectan a los artefactos realmente aprobados para entornos de producción. Esto permite al equipo centrar los esfuerzos de corrección en las vulnerabilidades más importantes, lo que reduce las alertas irrelevantes y mejora la posición de seguridad.

1. Asociación de artefactos con contexto de producción

          GitHub's linked artifacts page permite proporcionar contexto de producción para las compilaciones de su empresa mediante la API REST o una integración de asociados. Después, Teams puede usar este contexto para priorizar Dependabot y code scanning alertas. Para más información, consulta [AUTOTITLE](/code-security/concepts/supply-chain-security/linked-artifacts).

Para proporcionar contexto de producción, debe configurar el sistema para:

  • Actualice los registros de almacenamiento en linked artifacts page cada vez que se promueve un artefacto a un repositorio de paquetes aprobados por producción.

  • Actualice los registros de implementación cuando se implementa un artefacto en un entorno de producción.

            GitHubprocesa estos metadatos y lo usa para encender filtros de alerta, como `artifact-registry-url` y `artifact-registry` desde registros de almacenamiento, y `has:deployment``runtime-risk` desde registros de implementación.

Para obtener más información sobre la actualización de registros, consulte Carga de los datos de almacenamiento e implementación en linked artifacts page.

2. Usar filtros de contexto de producción

Los filtros de contexto de producción están disponibles en las vistas de alerta y las vistas de campaña de seguridad en la pestaña Security and quality.

  •         **
        Dependabot alerts vista**: vea [Visualización de Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **
        Code scanning vista de alertas**: consulte [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Vista de campaña de seguridad**: consulte [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Una vez que se muestra la lista de alertas, use los filtros artifact-registry-url o artifact-registry en las vistas de la organización para centrarse en las vulnerabilidades que afectan a los artefactos en producción.

  • Para su propio repositorio de artefactos hospedado en my-registry.example.com, usaría:

    Text
    artifact-registry-url:my-registry.example.com

  • Si usa JFrog Artifactory, puede usar artifact-registry sin ninguna configuración adicional en GitHub:

    Text
    artifact-registry:jfrog-artifactory

También puede usar los filtros has:deployment y runtime-risk para centrarse en vulnerabilidades que los metadatos de implementación muestran como en implementación o en riesgo de vulnerabilidades en tiempo de ejecución. Estos datos se rellenan automáticamente si ha conectado MDC. Por ejemplo:

  • Para centrarse en las alertas en el código implementado que se expone a Internet, usaría:

    Text
    has:deployment AND runtime-risk:internet-exposed

También puede combinar estos filtros de contexto de producción con otros filtros, como EPSS:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Corregir alertas en el código de producción

Ahora que ha identificado las alertas que ponen el código de producción en riesgo de explotación, debe corregirlos como cuestión de urgencia. Siempre que sea posible, use la automatización para reducir la barrera a la corrección.

  •         **
        Dependabot alerts:** Usa pull requests automatizados para correcciones de seguridad. Consulta [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **
        Code scanning alertas: cree campañas dirigidas** con Autofijo de Copilot. Consulta [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Lectura adicional

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)