Просмотр оповещений в кампании безопасности
Когда кампания предназначена для оповещений системы безопасности в репозитории с доступом на запись, вы можете перейти к списку оповещений репозитория в кампании.
- Откройте Security and quality вкладку репозитория и кликните по одной из кампаний в разделе «Кампании» в боковой панели.
- Если у вас есть доступ к более чем одному репозиторию в организации, откройте Security and quality вкладку организации и нажмите одну из кампаний в разделе «Кампании» в боковой панели.
- Кроме того, щелкните "Просмотреть кампанию безопасности" в уведомлении по электронной почте кампании.
В этом представлении отображаются оповещения в текущем репозитории для кампании под названием "Внедрение SQL (CWE-89)" (выделен серый), управляемый "октокатом" (описанным в темно-оранжевый).
Устранение оповещений в кампании безопасности
Если вы хотите увидеть код, который активировал оповещение системы безопасности и предлагаемое исправление, щелкните имя оповещения, чтобы отобразить представление оповещений.
-
Когда вы готовы к работе с одним или несколькими оповещениями системы безопасности, убедитесь, что никто еще не работает над этими оповещениями. В представлении кампании значки Git отображаются в оповещениях, где исправление уже может выполняться. Щелкните значок, чтобы отобразить связанную работу: * Открытый pull request может исправить это оповещение. * Открытый pull request может исправить это оповещение. * Ветка может содержать изменения для исправления этого оповещения.
-
В представлении кампании репозитория выберите оповещения, которые хотите исправить.
-
Подключите оповещения системы безопасности к рабочей ветви:
- Если для выбранных оповещений доступно хотя бы одно предложение "Автофикс", нажмите кнопку "Зафиксировать автофикс " и зафиксируйте изменения в новой ветви или существующей ветви.
- Если для выбранных оповещений нет предложений по автофиксам, нажмите «Создать новую ветку », чтобы создать новую ветку и работать над исправлением оповещений.
-
Завершив исправление оповещений и тестирование решений, создайте запрос на вытягивание изменений и запросите проверку от руководителя кампании.
Совет
Если у вас есть разрешение на запись для нескольких репозиторий в кампании, щелкните ссылку в поле "Ход выполнения кампании" в репозитории, чтобы отобразить представление кампании на уровне организации. При открытии репозитория из этого представления отображается представление оповещений кампании.
Назначение оповещений Агент кодирования Copilot
Примечание.
В настоящее время этот вариант находится в общедоступной предварительной версии и может быть изменен. Агент кодирования Copilot должно быть доступно в репозитории.
Если автофикс сгенерирован, можно назначить одно или несколько оповещений на Copilot. Copilot Создам pull requests, применим автофиксы и добавлим вас в качестве запрошенного рецензента.
Назначив несколько оповещений, Агент кодирования Copilot мы применим исправления и итерацию кода, чтобы проверить изменения, проверить новые проблемы с безопасностью и убедиться, что нет конфликтов слияния.
- В представлении кампании для репозитория выберите оповещения, которые необходимо назначить.
- Выше списка оповещений нажмите «Назначить Copilot».
В течение 30 секунд Copilot откройте pull request, чтобы устранить уязвимости безопасности, назначенные вам Copilot и вам. Запрос на вытягивание будет содержать сводку исправлений и сведения о внесенных изменениях. После создания запрос на вытягивание отображается рядом с предупреждением.
Использование GitHub Copilot Чат для безопасного кодирования
Если у вас есть доступ, Копилот Чат вы можете задать ИИ вопросы о уязвимости, предлагаемом решении и как проверить, что это решение полное.
Совет
Copilotвозможности ответов на вопросы естественного языка, такие как эти в контексте репозитория, оптимизированы при актуальном индексе поиска семантического кода для репозитория. Дополнительные сведения см. в разделе Индексирование репозиториев для GitHub Copilot.