识别安全警报后,下一步是识别最紧急的警报并修复这些警报。 安全活动是一种用于对警报进行分组并与开发人员共享这些警报的方法,以便可以协作修正代码中的漏洞和任何公开的机密。
日常工作中的安全性活动
作为安全性方面的领导者,你可以使用安全性活动来支持许多目标。
- 通过领导工作来修正警报,从而改善公司的安全状况。
- 通过创建一项协同修复相关 code scanning 警报的活动,强化开发人员的安全培训。
- 确保在修正目标时限内解决所有 secret scanning 警报。
- 在安全性团队和开发人员之间建立协作关系,以提升安全性警报的共享所有权。
- 让开发人员了解最紧急的警报,以修复和监视警报修正。
使用安全性活动的好处
与鼓励开发人员修正安全性警报的其他方式相比,安全性活动具有许多好处。 具体而言,
- 开发人员会收到关于其可参与的所有安全活动的通知。
- 开发人员可以在不离开正常工作流的情况下查看你高亮显示的警报,以进行修正。
- 各个活动都有一名指定的问题、评论和协作联系人。
- 对于 code scanning 警报,GitHub Copilot Autofix 会自动触发以提供解决方案建议。
你可以使用其中一个模板为活动选择一组密切相关的警报。 这样,开发人员就可凭借解决一条警报所获得的知识来修复更多警报,从而激励他们修复多条警报。
此外,还可使用 REST API 更高效地大规模创建活动并与之交互。 有关详细信息,请参阅“用于安全活动的 REST API 终结点”。
代码和机密活动之间的差异
注意
secret scanning 警报的相关活动当前处于 公共预览版 阶段,可能随时更改。
所有活动的创建工作流都是相同的,但你会发现在进度跟踪和开发人员体验方面存在一些差异。
| properties | 代码 | Secret |
|---|---|---|
| 可供包含的警报 | 仅限默认分支 | |
| 仓库跟踪议题 | ||
| 开发人员通知 | 需要仓库的写权限 | 需要警报列表的查看权限 |
| 警报分配 | 可能提升权限 | |
| 自动修正支持 | GitHub Copilot Autofix |
分配警报
注意
将 code scanning 和 secret scanning 警报分配给用户的选项目前为公共预览版,可能随时发生变化。
你可以将 code scanning 或 secret scanning 警报分配给对该仓库具有写权限的任何用户****。
如果 secret scanning 警报的被分派人无法查看警报列表,系统将临时提升其处理该警报的权限****。 当他们被取消警报的分配时,任何额外权限都将被撤销。