应用程序安全(AppSec)管理器经常被大量警报所淹没,其中许多警报可能并不表示实际风险,因为受影响的代码永远不会使其投入生产。 通过将生产环境上下文与警报关联,你可以筛选并优先处理那些会影响已获准部署到生产环境的工件的漏洞。 这使你的团队能够将修正工作集中在最重要的漏洞上,从而减少干扰并提升安全状况。
1. 将工件与生产环境相关联
GitHub
linked artifacts page允许您使用 REST API 或合作伙伴集成为您的公司构建版本提供生产环境上下文。 然后,Teams 可以使用此上下文为 Dependabot 和 code scanning 警报确定优先级。 有关详细信息,请参阅“[AUTOTITLE](/code-security/concepts/supply-chain-security/linked-artifacts)”。
若要提供生产上下文,应将系统配置为:
-
每当将组件提升至生产批准的包存储库时,更新存储记录linked artifacts page。
-
将项目部署到生产环境时更新 部署记录 。
GitHub 处理此元数据,并利用它为某些警报筛选器提供支持,例如来自存储记录的 `artifact-registry-url` 和 `artifact-registry`、以及来自部署记录的 `has:deployment` 和 `runtime-risk`。
有关更新记录的详细信息,请参阅 将存储和部署数据上传到 linked artifacts page。
2. 使用生产环境上下文筛选器
生产上下文筛选器可在** Security and quality** 选项卡下的警报视图和安全活动视图中使用。
-
** Dependabot alerts 查看**:参见 [查看 Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts)。 -
** Code scanning 警报视图**:请参阅 [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository)。 -
**安全活动视图**:请参阅 [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)。
在显示警报列表后,请使用组织视图中的artifact-registry-url或artifact-registry筛选器,以专注于影响生产环境中制品的漏洞。
-
对于托管在
my-registry.example.com的自有工件注册表,你将使用:Text artifact-registry-url:my-registry.example.com
artifact-registry-url:my-registry.example.com -
如果使用 JFrog Artifactory,则可以在 GitHub 中通过使用
artifact-registry,无需进一步设置。Text artifact-registry:jfrog-artifactory
artifact-registry:jfrog-artifactory
还可以使用 has:deployment 和 runtime-risk 筛选器来关注部署元数据中显示正在部署的安全漏洞,或面临运行时安全漏洞风险的漏洞。 如果已连接 MDC,将自动填充此数据。 例如:
-
若要专注于向 Internet 公开的已部署代码中的警报,请使用:
Text has:deployment AND runtime-risk:internet-exposed
has:deployment AND runtime-risk:internet-exposed
还可以将这些生产上下文筛选器与其他筛选器(例如 EPSS)组合在一起:
epss > 0.5 AND artifact-registry-url:my-registry.example.com
epss > 0.5 AND artifact-registry-url:my-registry.example.com
3. 修正生产代码中的警报
现在,您已识别出使生产代码面临被利用风险的警报,您需要紧急修正这些问题。 尽可能使用自动化来降低修正障碍。
-
** Dependabot alerts:** 使用自动化拉取请求进行安全修复。 请参阅“[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)”。 -
** Code scanning 警报:** 使用 Copilot自动修复 创建有针对性的活动。 请参阅“[AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)”。
延伸阅读
-
[AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)