Bewährte Methoden für die Teilnahme an einer Sicherheitskampagne

Wer kann dieses Feature verwenden?

Benutzer*innen mit Schreibzugriff

Organizations on Team or Enterprise Cloud with Code Security enabled

In diesem Artikel

Eine Sicherheitskampagne ist eine Gruppe von Sicherheitswarnungen, die in den Standardbranches von durch einen Organisationsbesitzer oder Sicherheitsmanager zur Behebung ausgewählten Repositorys erkannt werden.

Du kannst an einer Sicherheitskampagne teilnehmen, indem du mindestens eine der in der Kampagne enthaltenen Warnungen behebst.

Neben dem Nutzen, ein wichtiges Sicherheitsproblem aus der Codebasis deiner Organisation zu entfernen, bieten Warnungen in einer Sicherheitskampagne im Vergleich zum Beheben einer anderen Warnung in deinem Repository einige weitere Vorteile.

  • Es gibt einen Kampagnenmanager im Sicherheit, mit dem du zusammenarbeiten kannst, und einen bestimmten Kontaktlink zum Diskutieren von Kampagnenaktivitäten.
  • Dir ist bewusst, dass du eine Sicherheitswarnung behebst, der für das Unternehmen wichtig ist.
  • Du hast potenziell Zugriff auf zielgerichtetes Schulungsmaterialien.
  • Du musst keinen Vorschlag von Copilot Autofix anfordern, da dieser bereits als Ausgangspunkt verfügbar ist.
  • Wenn du Zugriff auf Copilot Chat hast, kannst du Fragen zur Warnung und zum vorgeschlagenen Fix stellen.
  • Du bildest dich fort und demonstrierst dein Wissen über das Schreiben sicheren Codes.

Wenn du einige grundlegende bewährte Methoden anwendest, kannst du erfolgreich an einer Kampagne teilnehmen.

Um E-Mail-Updates zu Sicherheitskampagnen in Repositorys zu erhalten, auf die du Schreibzugriff hast, stelle Folgendes sicher:

  • Beobachte alle Repositorys, auf die du Schreibzugriff hast.
  • Abonniere Warnungen zu „All activity“ oder „Security alerts“.

Wenn du die Registerkarte Security für ein Repository mit mindestens einer Kampagnenwarnung öffnest, wird der Name der Kampagne in der Randleiste der Ansicht angezeigt. Klicke auf den Kampagnennamen, um die Liste der Warnungen in der Kampagne und zusammenfassende Informationen dazu anzuzeigen, wie die Kampagne voranschreitet.

Einige Kampagnen erstellen für jedes Repository automatisch Issues, in denen Kampagnenmanager, Kontakt-URL und Fälligkeitsdatum angegeben werden.

Mit diesem Issue kannst du die Kampagnenarbeit im Rahmen deines üblichen Workflows wie folgt planen und nachverfolgen:

  • Hinzufügen des Issues zu Projektboards
  • Hinzufügen von bearbeitenden Personen
  • Erstellen von Sub-Issues oder Aufgabenlisten

Dein Sicherheit kann dir vor der Teilnahme an einer Kampagne eine gezielte Schulung anbieten, um dich auf den Umgang mit den in der Kampagne enthaltenen Warnungen vorzubereiten.

Wenn kein formelles Schulungsprogramm verfügbar ist, kannst du anfordern, dass das Kampagnenmanagement folgende Informationen teilt:

  • Typen von Sicherheitsrisiken, die in der Kampagne vorkommen
  • Beispiele für deren Behebung
  • Vorgehensweise beim Testen der Fixes

Darüber hinaus gibt es externe Ressourcen für allgemeine Sicherheitsissues:

  • Die OWASP Foundation bietet viele Ressourcen mit Informationen zu den häufigsten Sicherheitsrisiken unter About the OWASP Foundation.
  • Die MITRE Corporation führt eine detaillierte Liste allgemeiner Schwachstellen, siehe About CWE.

Beim Beheben von Sicherheitswarnungen im Rahmen einer Kampagne kann es hilfreich sein, ähnliche Warnungen zu gruppieren und zusammen zu beheben. Auf diese Weise lassen sich tiefere Einblicke in das zugrunde liegende Issue gewinnen. Sobald du beim Lösen bestimmter Arten von Warnungen sicherer und erfolgreicher geworden bist, kannst du auch andere Warnungen einfacher und schneller lösen.

Copilot Autofix wird automatisch für Warnungen ausgelöst, die in einer Kampagne enthalten sind. Dadurch werden Fixes nach Möglichkeit automatisch für dich generiert. Du kannst den vorgeschlagenen Fix committen, um die Warnung zu beheben und dann überprüfen, ob die Continuous Integration-Tests (CI) für die Codebasis noch bestanden werden. Weitere Informationen findest du unter Beheben von Warnungen in einer Sicherheitskampagne.

Du kannst Copilot Chat um Hilfe bitten, um das Sicherheitsrisiko zu erkennen, einen Lösungsvorschlag zu erhalten und zu testen, ob der Fix funktioniert. Um auf Copilot Chat zuzugreifen, navigiere zu https://.com/copilot.

Alternativ dazu kannst du bei der Anzeige einer bestimmten Warnung oben rechts auf der Seite auf das Copilot Chat-Symbol () klicken, um ein Chatfenster zu öffnen und Copilot Fragen zur Warnung zu stellen.

Zum Beispiel:

Text

Explain how this alert introduces a vulnerability into the code.

Wenn du noch keinen Zugriff auf Copilot Chat für deine Organisation oder dein Unternehmen hast, kannst du dich bei Copilot Free registrieren. Weitere Informationen finden Sie unter Erste Schritte mit einem Copilot-Plan.

Eine Sicherheitskampagne enthält in der Regel eine Kontakt-URL, die sich mit dem Kampagnenmanager, einem offenen Forum (z. B. einer -Diskussion) oder einer Website mit Ressourcen verknüpfen lässt. Verwende diesen Bereich, um Fragen zu der Kampagne oder bestimmten Warnungen zu stellen, hilfreiche Ressourcen zu finden und Wissen zu teilen.

So suchst du die Kontakt-URL:

  1. Öffne die Registerkarte Security deines Repositorys.
  2. Klicke auf der linken Randleiste auf den Namen der Kampagne, an der du teilnimmst.
  3. Klicke auf der Kampagnenverfolgungsseite rechts neben dem Namen des Kampagnenmanagers auf .