Qu’est-ce qu’une campagne de sécurité ?
Une campagne de sécurité est un groupe d’alertes de sécurité, détectées dans les branches par défaut des référentiels, choisies par un propriétaire de l’organisation ou un manager de sécurité pour la correction.
Vous pouvez participer à une campagne de sécurité en corrigeant une ou plusieurs des alertes incluses dans la campagne.
Quels avantages présente la participation à la campagne
En plus de résoudre un problème de sécurité important dans le code de votre organisation, les alertes d’une campagne de sécurité présentent plusieurs autres avantages par rapport à la résolution d’une autre alerte dans votre référentiel.
- Vous avez un responsable de campagne dans l’équipe de sécurité avec lequel collaborer et un lien de contact spécifique pour discuter des activités de campagne.
- Vous savez que vous corrigez une alerte de sécurité qui est importante pour l’entreprise.
- Potentiellement, vous avez peut-être accès à des supports de formation ciblés.
- Vous n’avez pas besoin de demander une GitHub Copilot Autofix, elle est déjà disponible en tant que point de départ.
- Si vous avez accès à GitHub Copilot Chat, vous pouvez poser des questions sur l’alerte et le correctif suggéré.
- Vous améliorez et démontrez votre connaissance du codage sécurisé.
L’adoption de quelques bonnes pratiques clés peut vous aider à participer avec succès à une campagne.
Restez informé
Paramètres de notification
Pour recevoir des mises à jour par e-mail concernant les campagnes de sécurité dans les référentiels auxquels vous avez un accès en écriture, assurez-vous de :
- Surveiller tous les référentiels auxquels vous avez accès en écriture.
- Vous abonner aux notifications pour « Toute activité » ou « Alertes de sécurité ».
Afficher les détails de la campagne
Lorsque vous ouvrez l’onglet Sécurité d’un référentiel avec une ou plusieurs alertes de campagne, vous pouvez voir le nom de la campagne dans la barre latérale de la vue. Cliquez sur le nom de la campagne pour afficher la liste des alertes incluses dans la campagne ainsi qu’un résumé de l’avancement de celle-ci.
Problèmes GitHub Issues générés par la campagne
Certaines campagnes créent automatiquement des GitHub Issues pour chaque référentiel, précisant les managers de la campagne, l’URL de contact et la date d’échéance.
Vous pouvez utiliser ce problème pour planifier et suivre le travail de campagne dans le cadre de vos flux de travail habituels, tels que :
- Ajout du ticket aux tableaux de projet
- Ajout de personnes responsables
- Création de sous-tickets ou de listes de tâches
Rechercher un contexte
Votre équipe de sécurité peut vous fournir une formation spécifique avant de participer à une campagne, pour vous préparer à traiter les alertes incluses dans la campagne.
Si aucun programme de formation formel n’est disponible, vous pouvez demander au manager de campagne de partager des informations sur :
- Types de vulnérabilités de sécurité incluses dans la campagne
- Exemples de résolution des problèmes
- Guide pratique pour tester les correctifs
En outre, il existe des ressources externes pour comprendre les problèmes de sécurité courants :
- La fondation OWASP propose de nombreuses ressources pour se familiariser avec les vulnérabilités les plus courantes, voir À propos de la fondation OWASP.
- La MITRE Corporation conserve une liste détaillée des faiblesses courantes, voir À propos de la CWE.
Regrouper les alertes similaires
Lors de la résolution des alertes de sécurité dans le cadre d’une campagne, il peut être utile de regrouper et de corriger des alertes similaires ensemble. En procédant ainsi, vous pouvez développer une compréhension plus approfondie du problème sous-jacent. À mesure que vous gagnez en confiance et en efficacité dans la résolution d’un type d’alerte spécifique, il devient plus simple et rapide de traiter les alertes suivantes.
Tirer profit de Copilot
Copilot Autofix
Copilot Autofix est automatiquement déclenché pour les alertes incluses dans une campagne, ce qui signifie que, lorsque c’est possible, des correctifs sont générés automatiquement pour vous. Vous pouvez valider le correctif suggéré pour résoudre l’alerte, puis vérifier que le test d’intégration continue (CI) pour le codebase passe toujours. Consultez Résolution des alertes dans une campagne de sécurité.
Copilot Chat
Vous pouvez demander de l’aide à Copilot Chat pour comprendre la vulnérabilité, le correctif proposé et comment tester l’exhaustivité de ce correctif. Pour accéder à Copilot Chat, rendez-vous sur https://github.com/copilot.
Vous pouvez également, lorsque vous consultez une alerte spécifique, cliquer sur l’icône Copilot Chat en haut à droite de la page () pour ouvrir une fenêtre de discussion et poser vos questions à Copilot concernant l’alerte.
Par exemple :
Explain how this alert introduces a vulnerability into the code.
Explain how this alert introduces a vulnerability into the code.
Si vous n’avez pas encore accès à Copilot Chat via votre organisation ou votre entreprise, vous pouvez vous inscrire à GitHub Copilot Free. Pour plus d’informations, consultez « Bien démarrer avec le plan Copilot ».
Poser des questions
Une campagne de sécurité inclura généralement une URL de contact, qui peut vous rediriger vers le manager de la campagne, un forum ouvert (tel qu’une discussion GitHub) ou un site web de ressources. Vous devriez utiliser cet espace pour poser des questions sur la campagne ou sur des alertes spécifiques, trouver des ressources utiles et partager vos connaissances.
Pour rechercher l’URL du contact :
- Accédez à l’onglet Sécurité de votre référentiel.
- Dans la barre latérale gauche, cliquez sur le nom de la campagne à laquelle vous participez.
- Dans la page de suivi des campagnes, à droite du nom du manager de campagne, cliquez sur .