Como ver os alertas em uma campanha de segurança
Quando uma campanha direciona alertas de segurança em um repositório no qual você tem permissão de escrita, você pode navegar até a lista de alertas do repositório na campanha.
- Exiba a Security and quality aba do repositório e clique em uma das campanhas em "Campanhas" na barra lateral.
- Se você tiver acesso de gravação a mais de um repositório na organização, exiba a Security and quality guia da organização e clique em uma das campanhas em "Campanhas" na barra lateral.
- Como alternativa, clique em Exibir campanha de segurança na notificação por email da campanha.
Essa exibição mostra os alertas no repositório atual para uma campanha chamada “Injeção de SQL (CWE-89)” (realçado em cinza) que é gerenciada por “octocat” (contornado em laranja-escuro).
Como corrigir alertas em uma campanha de segurança
Caso deseje ver o código que disparou o alerta de segurança e a correção sugerida, selecione o nome do alerta para mostrar a exibição de alertas.
-
Quando estiver pronto para trabalhar em um ou mais alertas de segurança, verifique se ninguém mais está trabalhando neles. Na exibição de campanha, os ícones do Git são exibidos nos alertas em que uma correção já possa estar em andamento. Selecione um ícone para ver o trabalho vinculado: * um pull request de rascunho aberto pode corrigir este alerta. * uma solicitação de pull aberta pode corrigir esse alerta. * um branch pode conter alterações para corrigir esse alerta.
-
No modo de exibição de campanha do repositório, selecione os alertas que você deseja corrigir.
-
Conecte os alertas de segurança a um branch ativo:
- Se, pelo menos, uma sugestão de “Correção automática” estiver disponível para os alertas selecionados, clique em Confirmar correção automática e confirme as alterações em uma ramificação nova ou existente.
- Se nenhuma sugestão de autofixo estiver disponível para os alertas selecionados, clique em Criar nova ramificação para criar um branch em que você trabalhará na correção dos alertas.
-
Quando terminar de corrigir os alertas e testar as soluções, crie uma pull request para as alterações e solicite uma revisão do gerente de campanha.
Dica
Se tiver permissão de gravação em mais de um repositório na campanha, clique no link na caixa “Progresso da campanha” no repositório para mostrar a visão de nível organizacional da campanha. Quando você abre um repositório por meio dessa visualização, a visualização de alertas da campanha é exibida.
Atribuindo alertas a agente de codificação Copilot
Observação
Essa opção está atualmente em versão prévia pública e está sujeita a alterações. agente de codificação Copilot deve estar disponível no repositório.
Se um autofixo tiver sido gerado, você poderá atribuir um ou mais alertas a Copilot. Copilot criará pull requests, aplicará os autofixes e adicionará você como um revisor solicitado.
Ao atribuir vários alertas, agente de codificação Copilot aplicará as correções e iterará no código para validar as alterações, verificar se há novos problemas de segurança e garantir que não haja conflitos de mesclagem.
- No modo de exibição de campanha do repositório, selecione os alertas que você deseja atribuir.
- Acima da lista de alertas, clique em Atribuir ao Copilot.
Dentro de 30 segundos, Copilot abrirá um pull request para resolver as vulnerabilidades de segurança atribuídas a Copilot e a você mesmo. A solicitação de pull incluirá um resumo das correções e detalhes das alterações feitas. Depois de criada, a solicitação de pull é mostrada ao lado do alerta.
Uso Chat GitHub Copilot para codificação segura
Se você tiver acesso, Chat Copilot poderá fazer perguntas de IA sobre a vulnerabilidade, a correção sugerida e como testar se a correção é abrangente.
Dica
A capacidade do Copilot de responder a perguntas em linguagem natural como essas em um contexto de repositório é otimizada quando o índice de pesquisa de código semântico do repositório está atualizado. Para saber mais, confira Indexando repositórios para o GitHub Copilot.