Nachdem du Sicherheitswarnungen identifiziert hast, besteht der nächste Schritt darin, die dringendsten Warnungen zu identifizieren und zu korrigieren. Mit Sicherheitskampagnen können Warnungen gruppiert und für Entwickelnde freigegeben werden, wodurch du Sicherheitsrisiken im Code und alle offengelegten Geheimnisse gemeinsam beheben kannst.
Sicherheitskampagnen in der täglichen Arbeit
Du kannst Sicherheitskampagnen zum Unterstützen vieler deiner Ziele als für die Sicherheit zuständige Person nutzen.
- Verbessern des Sicherheitsstatus des Unternehmens durch anleiten von Arbeiten zum Beheben von Warnungen
- Setze das Sicherheitstraining für Entwickelnde durch, indem du eine Kampagne mit verwandten code scanning-Warnungen erstellst, um diese gemeinsam zu beheben.
- Stelle sicher, dass secret scanning-Warnungen innerhalb deines Wartungsziels aufgelöst werden.
- Aufbauen von Kollaborationsbeziehungen zwischen dem Sicherheitsteam und Entwicklern zum Fördern der gemeinsamen Verantwortlichkeit für Sicherheitswarnungen
- Schaffen von Klarheit für Entwickler bei den dringendsten Warnungen, um diese zu beheben und die Behebung zu überwachen
Vorteile von Sicherheitskampagnen
Eine Sicherheitskampagne bietet viele Vorteile gegenüber anderen Möglichkeiten, das Beheben von Sicherheitswarnungen durch Entwickler zu fördern. Im Folgenden ist ein Beispiel gezeigt:
- Entwickelnde werden über alle Sicherheitskampagnen benachrichtigt, an denen sie mitwirken können.
- Entwickler können die von dir zum Beben hervorgehobenen Warnungen sehen, ohne ihre normalen Workflows zu verlassen.
- Jede Kampagne verfügt über einen Ansprechpartner für Fragen, Überprüfungen und Zusammenarbeit.
- Für code scanning-Warnungen werden GitHub Copilot Autofix automatisch ausgelöst, um eine Lösung vorzuschlagen.
Du kannst eine der Vorlagen zum Auswählen einer Reihe zusammenhängender Warnungen für eine Kampagne verwenden. Auf diese Weise können Entwickler auf dem Wissen vom Beheben einer Warnung aufbauen und es für weitere Warnungen nutzen. So werden sie ermutigt, mehrere Warnungen zu beheben.
Darüber hinaus kannst du die REST-API verwenden, um Kampagnen effizienter und im großen Stil zu erstellen und mit ihnen zu interagieren. Weitere Informationen finden Sie unter REST-API-Endpunkte für Sicherheitskampagnen.
Unterschiede zwischen Code- und Geheimniskampagnen
Hinweis
Kampagnen für secret scanning-Warnungen befinden sich derzeit in der public preview. Änderungen sind vorbehalten.
Der Erstellungsworkflow ist für alle Kampagnen identisch, du wirst jedoch einige Unterschiede bei der Nachverfolgung und Entwicklererfahrung feststellen.
| Eigenschaft | Code | Geheimnis |
|---|---|---|
| Warnungen, die zur Aufnahme verfügbar sind | Nur Standardbranch | |
| Probleme bei der Repositorynachverfolgung | ||
| Entwicklerbenachrichtigungen | Erfordert Schreibzugriff auf das Repository | Erfordert Zugriff zum Anzeigen auf die Warnungsliste |
| Warnungszuweisung | Kann Berechtigungen erhöhen | |
| Unterstützung für automatische Wartung | GitHub Copilot Autofix |
Zuweisen von Warnungen
Hinweis
Die Option zum Zuweisen von code scanning- und secret scanning-Warnungen zu Benutzern befindet sich derzeit in der Public Preview. Änderungen sind vorbehalten.
Du kannst jedem Benutzer mit Schreibzugriff auf das Repository eine code scanning- oder secret scanning-Warnung zuweisen.
Wenn die zugewiesene Person einer secret scanning-Warnung die Warnungsliste nicht anzeigen kann, werden ihre Berechtigungen für diese Warnung vorübergehend erhöht. Alle zusätzlichen Berechtigungen werden widerrufen, wenn die Zuweisung zur Warnung aufgehoben wird.