Résolution des alertes dans une campagne de sécurité

Découvrez comment rechercher et corriger des alertes dans une campagne de sécurité.

Qui peut utiliser cette fonctionnalité ?

Utilisateurs avec accès en écriture

Organisations sur GitHub Team ou GitHub Enterprise Cloud avec GitHub Secret Protection or GitHub Code Security activé

Dans cet article

Visualisation des alertes dans une campagne de sécurité

Lorsqu’une campagne cible des alertes de sécurité dans un référentiel auquel vous avez accès en écriture, vous pouvez accéder à la liste des alertes de référentiel dans la campagne.

  • Affichez l’onglet Security and quality du référentiel et cliquez sur l’une des campagnes sous « Campagnes » dans la barre latérale.
  • Si vous avez accès en écriture à plusieurs référentiels de l’organisation, affichez l’onglet Security and quality de l’organisation et cliquez sur l’une des campagnes sous « Campagnes » dans la barre latérale.
  • Vous pouvez également cliquer sur Afficher la campagne de sécurité dans la notification par e-mail de la campagne.

Cette vue affiche les alertes dans le référentiel actuel pour une campagne appelée « Injection SQL (CWE-89) » (gris mis en surbrillance) gérée par « octocat » (plan en orange foncé).

Capture d’écran de la vue de campagne du référentiel avec la campagne « Injection SQL (CWE-89) » affichée et le « Gestionnaire de campagne » décrit en orange foncé.

Résolution des alertes dans une campagne de sécurité

Si vous souhaitez voir le code qui a déclenché l’alerte de sécurité et le correctif suggéré, cliquez sur le nom de l’alerte pour afficher l’affichage de l’alerte.

  1. Lorsque vous êtes prêt à travailler sur une ou plusieurs alertes de sécurité, vérifiez que personne d’autre ne travaille déjà sur ces alertes. Dans la vue de la campagne, des icônes Git s’affichent sur les alertes où un correctif peut déjà être en cours. Cliquez sur une icône pour afficher le travail lié : * une demande de tirage préliminaire ouverte peut corriger cette alerte. * une pull request ouverte peut résoudre cette alerte. * une branche peut contenir des modifications pour corriger cette alerte.

  2. Dans l’affichage campagne du référentiel, sélectionnez les alertes que vous souhaitez corriger.

  3. Connectez les alertes de sécurité à une branche de travail :

    • Si au moins une suggestion « Correction automatique » est disponible pour les alertes sélectionnées, cliquez sur Valider la correction automatique et validez les modifications apportées à une nouvelle branche ou à une branche existante.
    • Si aucune suggestion de correction automatique n’est disponible pour les alertes sélectionnées, cliquez sur Créer une branche pour créer une branche dans laquelle vous allez travailler pour corriger les alertes.

  4. Une fois que vous avez terminé de corriger les alertes et de tester vos solutions, créez un pull request pour vos modifications et demandez une révision au responsable de la campagne.

Conseil

Si vous disposez d’une autorisation en écriture pour plusieurs référentiels de la campagne, cliquez sur le lien dans la zone « Progression de la campagne » dans votre référentiel pour afficher la vue de la campagne au niveau de l’organisation. Lorsque vous ouvrez un référentiel à partir de cette vue, la vue des alertes de campagne s’affiche.

Affectation d’alertes à Copilot, agent de codage

Remarque

Cette option est actuellement en préversion publique et peut être modifiée. Copilot, agent de codage doit être disponible dans le référentiel.

Si une correction automatique a été générée, vous pouvez affecter une ou plusieurs alertes à Copilot. Copilot crée des pull requests, applique les corrections automatiques et vous ajoute comme réviseur.

En affectant plusieurs alertes, Copilot, agent de codage appliquera les correctifs et effectuera des itérations sur le code pour valider les modifications, rechercher tout nouveau problème de sécurité et vérifier qu’il n’existe aucun conflit de fusion.

  1. Dans l’affichage campagne du référentiel, sélectionnez les alertes que vous souhaitez affecter.
  2. Au-dessus de la liste des alertes, cliquez sur Affecter à Copilot.

Dans les 30 secondes, Copilot ouvrira une pull request pour résoudre les vulnérabilités de sécurité assignées à Copilot et à vous-même. La pull request inclura un résumé des correctifs et des détails des modifications apportées. Une fois créée, la pull request s’affiche à côté de l’alerte.

Utilisation GitHub Copilot Chat pour le codage sécurisé

Si vous avez accès à Tchat Copilot, vous pouvez poser des questions à l'intelligence artificielle (IA) sur la vulnérabilité, le correctif suggéré et comment tester l'exhaustivité du correctif.

Conseil

La capacité de Copilot à répondre à des questions en langage naturel comme celles-ci dans le contexte d'un référentiel est optimisée lorsque l'index de recherche de code sémantique pour le référentiel est à jour. Pour plus d’informations, consultez « Indexation de référentiels pour GitHub Copilot ».