セキュリティ キャンペーンに参加するためのベスト プラクティス

セキュリティ キャンペーンに参加する方法と、それがキャリアとコードにどのように役立つかについて説明します。

この機能を使用できるユーザーについて

書き込み アクセスを持つユーザー

GitHub Code Security が有効になっている GitHub Team または GitHub Enterprise Cloud 上の organization

この記事の内容

セキュリティ キャンペーンとは

セキュリティ キャンペーンとは、organization の所有者またはセキュリティ マネージャーが修復のために選択したリポジトリの既定ブランチで検出される、一連のセキュリティ アラートです。

キャンペーンに含まれる 1 つ以上のアラートを修正することで、セキュリティ キャンペーンに参加できます。

キャンペーンに参加することの利点

深刻なセキュリティの問題を organization のコードベースから取り除くという利点に加えて、セキュリティ キャンペーンのアラートには、リポジトリ内の別のアラートの修正と比較して、他にもいくつかの利点があります。

  • セキュリティ チームには共同作業を行うキャンペーン マネージャーがおり、キャンペーン アクティビティについて話し合うための特定の連絡先リンクがあります。
  • 会社にとって重要なセキュリティ アラートを修正していることがわかります。
  • 場合によっては、対象となるトレーニング資料にアクセスできる可能性があります。
  • GitHub Copilot Autofix の提案を要求する必要はありません。これは開始時点で既に使用可能です。
  • GitHub Copilot Chat にアクセスできる場合は、アラートおよび修正候補について質問できます。
  • 安全なコーディングに関する知識を向上させ、実際に活用します。

いくつかの重要なベスト プラクティスを採用することで、キャンペーンに参加することができます。

最新情報を入手

通知設定

書き込みアクセス権限のあるリポジトリ内のセキュリティ キャンペーンに関する更新情報をメールで受け取るには、次のようにします。

  • 書き込みアクセス権限のあるすべてのリポジトリを監視します。
  • [All activity] または [Security alerts] の通知を購読します。

キャンペーンの詳細を表示する

1 つ以上のキャンペーン アラートを含むリポジトリの [Security] タブを開くと、ビューのサイドバーでキャンペーン名を確認できます。 キャンペーン名をクリックすると、キャンペーンに含まれるアラートの一覧と、キャンペーンの進行状況に関する概要情報が表示されます。

キャンペーンで生成された GitHub Issues

一部のキャンペーンでは、キャンペーン マネージャー、連絡先 URL、期限の詳細を示す GitHub Issues がリポジトリごとに自動的に作成されます。

この issue を使って、次のような通常のワークフローの一部としてキャンペーン作業を計画し、追跡することができます。

  • プロジェクト ボードに issue を追加する
  • 担当者を追加する
  • サブ issue またはタスクリストを作成する

コンテキストを探す

キャンペーンに含まれるアラートに対応できるように、キャンペーンに参加する前に、セキュリティ チームから特定のトレーニングが提供される場合があります。

正式なトレーニング プログラムを使用できない場合は、キャンペーン マネージャーに次の情報を共有するように依頼することができます。

  • キャンペーンに含まれるセキュリティ脆弱性の種類
  • 修正方法の例
  • 修正をテストする方法

さらに、一般的なセキュリティの issue を理解するための外部リソースもあります。

  • OWASP Foundation は、最も一般的な脆弱性について学習できるリソースを多数提供しています。詳細については、「About the OWASP Foundation」(OWASP Foundation について) を参照してください。
  • MITRE Corporation は、一般的な弱点の詳細な一覧を管理しています。詳細については、「About CWE」(CWE について) を参照してください。

同様のアラートをグループ化する

キャンペーンの一環としてセキュリティ アラートを修正する場合、同様のアラートをグループ化して修正すると便利な場合があります。 そうすることで、基となる issue をより深く理解することができます。 特定の種類のアラートを自信を持って効率的に解決できるようになるにつれて、以降のアラートをより簡単かつ迅速に解決できるようになります。

Copilot を利用する

Copilot Autofix

Copilot Autofix は、キャンペーンに含まれるアラートに対して自動的にトリガーされます。つまり、可能な場合には修正が自動的に生成されます。 提案された修正をコミットしてアラートを解決し、コードベースの継続的インテグレーション テスト (CI) が現在も合格していることを確認できます。 「セキュリティ キャンペーンでのアラートの修正」を参照してください。

Copilot Chat

脆弱性、提案される修正、修正が包括的であるかどうかをテストする方法を理解するには、Copilot Chat に聞くことができます。 Copilot Chat にアクセスするには、https://github.com/copilot に移動します。

または、特定のアラートを表示しているときに、ページの右上隅にある Copilot Chat アイコン () をクリックしてチャット ウィンドウを開き、アラートについて Copilot に質問します。

次に例を示します。

Text

Explain how this alert introduces a vulnerability into the code.

まだ organization または Enterprise を介して Copilot Chat にアクセスしたことがない場合は、GitHub Copilot Free にサインアップできます。 詳しくは、「Copilot プランの概要」をご覧ください。

質問する

通常、セキュリティ キャンペーンには、キャンペーン マネージャー、オープン フォーラム (GitHub ディスカッションなど)、またはリソースの Web サイトにリンクする連絡先 URL が含まれます。 このスペースは、キャンペーンや特定のアラートについて質問する、役立つリソースを見つける、知識を共有する目的で使ってください。

連絡先 URL を表示するには:

  1. リポジトリの [Security] タブを開きます。
  2. 左側のサイドバーで、参加しているキャンペーンの名前をクリックします。
  3. キャンペーン追跡ページで、キャンペーン マネージャー名の右側にある をクリックします。

次のステップ