Thanks to visit codestin.com
Credit goes to docs.github.com

Informationen zu Sicherheitskampagnen

Du kannst Sicherheitswarnungen im großen Stil beheben, indem du Sicherheitskampagnen erstellst und mit Entwicklern zusammenarbeitest, um das Sicherheitsbacklog zu reduzieren.

Wer kann dieses Feature verwenden?

Organizations on GitHub Team with GitHub Secret Protection or GitHub Code Security enabled

In diesem Artikel

Nachdem du Sicherheitswarnungen identifiziert hast, besteht der nächste Schritt darin, die dringendsten Warnungen zu identifizieren und zu korrigieren. Sicherheitskampagnen sind eine Möglichkeit, Warnungen zu gruppieren und mit Entwicklern zu teilen, sodass Sie zusammenarbeiten können, um Sicherheitsrisiken im Code und alle offengelegten Geheimschlüssel zu beheben.

Sicherheitskampagnen in der täglichen Arbeit

Sie können Sicherheitskampagnen nutzen, um viele Ihrer Ziele als Sicherheitsverantwortlicher zu unterstützen.

  • Verbessern des Sicherheitsstatus des Unternehmens durch anleiten von Arbeiten zum Beheben von Warnungen
  • Stärkung von Sicherheitsschulungen für Entwickler durch die Erstellung einer Kampagne aus zusammenhängenden code scanning-Warnmeldungen, die gemeinsam zu beheben sind.
  • Sicherstellen, dass secret scanning Warnungen innerhalb Ihres Wartungsziels aufgelöst werden.
  • Aufbauen von Kollaborationsbeziehungen zwischen dem Sicherheitsteam und Entwicklern zum Fördern der gemeinsamen Verantwortlichkeit für Sicherheitswarnungen
  • Schaffen von Klarheit für Entwickler bei den dringendsten Warnungen, um diese zu beheben und die Behebung zu überwachen.

Vorteile von Sicherheitskampagnen

Eine Sicherheitskampagne bietet viele Vorteile gegenüber anderen Möglichkeiten, das Beheben von Sicherheitswarnungen durch Entwickler zu fördern. Im Folgenden ist ein Beispiel gezeigt:

  • Entwickelnde werden über alle Sicherheitskampagnen benachrichtigt, an denen sie mitwirken können.
  • Entwickler können die von dir zum Beben hervorgehobenen Warnungen sehen, ohne ihre normalen Workflows zu verlassen.
  • Für jede Kampagne gibt es einen benannten Ansprechpartner für Fragen, Feedback und Zusammenarbeit.
  • Bei code scanning-Warnungen wird GitHub Copilot Autofix automatisch ausgelöst, um eine Lösung vorzuschlagen.
  • Für code scanning und secret scanning können Sie Warnungen in einer Kampagne Benutzern mit Schreibzugriff oder Copilot-Cloud-Agent zuweisen, um automatisch Pull-Requests zu generieren, die Fixes enthalten.

Du kannst eine der Vorlagen zum Auswählen einer Reihe zusammenhängender Warnungen für eine Kampagne verwenden. Auf diese Weise können Entwickler auf dem Wissen vom Beheben einer Warnung aufbauen und es für weitere Warnungen nutzen. So werden sie ermutigt, mehrere Warnungen zu beheben.

Darüber hinaus kannst du die REST-API verwenden, um Kampagnen effizienter und im großen Stil zu erstellen und mit ihnen zu interagieren. Weitere Informationen finden Sie unter REST-API-Endpunkte für Sicherheitskampagnen.

Unterschiede zwischen Code- und Geheimniskampagnen

Hinweis

Kampagnen für secret scanning-Warnungen befinden sich derzeit in der öffentliche Vorschau. Änderungen sind vorbehalten.

Der Erstellungsworkflow ist für alle Kampagnen identisch, du wirst jedoch einige Unterschiede bei der Nachverfolgung und Entwicklererfahrung feststellen.

EigentumCodeGeheim
Warnungen, die zur Aufnahme verfügbar sind
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> Nur Standardzweig | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>

| Probleme bei der Repositorynachverfolgung | | | | Entwicklerbenachrichtigungen | Erfordert Schreibzugriff auf Repository | Erfordert den Zugriff auf warnungslisten | | | | Warnungszuweisung | | Kann Berechtigungen auslösen | | | | Unterstützung für automatische Wartung | GitHub Copilot Autofix | |

Informationen zum Zuweisen von Benachrichtigungen an Benutzer und Copilot-Cloud-Agent

Sie können einem Benutzer, der Schreibzugriff auf das Repository hat, eine code scanning- oder secret scanning-Benachrichtigung zuweisen.

Wenn der Zuständige für eine secret scanning Benachrichtigung die Benachrichtigungsliste nicht anzeigen kann, werden seine Berechtigungen für diese Benachrichtigung vorübergehend erhöht. Alle zusätzlichen Berechtigungen werden widerrufen, wenn die Zuweisung zur Warnung aufgehoben wird.

          GitHub benachrichtigt Benutzer:
  • Wenn sie einer Warnung zugeordnet werden
  • Wenn diese Warnung ausgeblendet wird

Für code scanning können Sie einige dieser Vorgänge auch programmgesteuert mithilfe der REST-API ausführen, wie z. B. das Zuweisen oder Aufheben der Zuweisung von Benutzern zu Warnungen und das Filtern von Warnungen nach Zugewiesenem. Weitere Informationen findest du in der Dokumentation zur REST-API unter REST-API-Endpunkte für die Codeüberprüfung. Darüber hinaus sind Webhooks verfügbar, um Sie zu benachrichtigen, wenn eine Warnung zugewiesen oder eine Aufgabe entfernt wird.

Wenn ein Autofix für Warnungen in einer Sicherheitskampagne generiert wurde, können Sie diese Warnungen auswählen und diese dem Copilot-Cloud-Agent zuweisen. Copilot erstellt eine Pull-Anforderung und fügt Sie als angeforderten Prüfer hinzu. Weitere Informationen findest du unter Beheben von Warnungen in einer Sicherheitskampagne.

Nächste Schritte