close

使用生产上下文确定 Dependabot 和代码扫描警报的优先级

通过使用外部系统和集成(如 Dynatrace、JFrog Artifactory、Microsoft Defender for Cloud 或自有 CI/CD 工作流)中的元数据,将修复重点放在真实风险上,针对部署到生产环境中的 Dependabot 和 code scanning 告警。

在本文中

应用程序安全(AppSec)管理器经常被大量警报所淹没,其中许多警报可能并不表示实际风险,因为受影响的代码永远不会使其投入生产。 通过将生产环境上下文与警报关联,你可以筛选并优先处理那些会影响已获准部署到生产环境的工件的漏洞。 这使你的团队能够将修正工作集中在最重要的漏洞上,从而减少干扰并提升安全状况。

1. 将工件与生产环境相关联

          GitHub 的 linked artifacts page 允许你通过 REST API 或合作伙伴集成为公司构建提供生产环境上下文。 然后,Teams 可以使用此上下文为 Dependabot 和 code scanning 警报确定优先级。 有关详细信息,请参阅“[AUTOTITLE](/code-security/concepts/supply-chain-security/linked-artifacts)”。

若要提供生产上下文,应将系统配置为:

  • 在每次制品被提升为生产批准的包仓库时,更新 linked artifacts page 中的存储记录

  • 将项目部署到生产环境时更新 部署记录

            GitHub 处理此元数据,并利用它为某些警报筛选器提供支持,例如来自存储记录的 `artifact-registry-url` 和 `artifact-registry`、以及来自部署记录的 `has:deployment` 和 `runtime-risk`。 部署记录中的运行时风险也会作为属性显示在单个 code scanning 和 Dependabot 告警页面中。

有关更新记录的详细信息,请参阅 将存储和部署数据上传到 linked artifacts page

2. 使用生产环境上下文筛选器

生产上下文筛选器可在** Security and quality** 选项卡下的警报视图和安全活动视图中使用。

  •         **
        Dependabot alerts 查看**:参见 [查看 Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts)。

  •         **
        Code scanning 警报视图**:请参阅 [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository)。

  •         **安全活动视图**:请参阅 [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)。

在显示警报列表后,请使用组织视图中的artifact-registry-urlartifact-registry筛选器,以专注于影响生产环境中制品的漏洞。

  • 对于托管在 my-registry.example.com 的自有工件注册表,你将使用:

    Text
    artifact-registry-url:my-registry.example.com

  • 如果使用 JFrog Artifactory,可以在 artifact-registry 中直接使用 GitHub,无需额外配置:

    Text
    artifact-registry:jfrog-artifactory

还可以使用 has:deploymentruntime-risk 筛选器来关注部署元数据中显示正在部署的安全漏洞,或面临运行时安全漏洞风险的漏洞。 如果已连接 MDC,将自动填充此数据。 例如:

  • 若要专注于向 Internet 公开的已部署代码中的警报,请使用:

    Text
    has:deployment AND runtime-risk:internet-exposed

还可以将这些生产上下文筛选器与其他筛选器(例如 EPSS)组合在一起:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. 修正生产代码中的警报

现在,您已识别出使生产代码面临被利用风险的警报,您需要紧急修正这些问题。 尽可能使用自动化来降低修正障碍。

  •         **
        Dependabot alerts:** 使用自动化拉取请求进行安全修复。 请参阅“[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)”。

  •         **
        Code scanning 警报:** 使用 Copilot自动修复 创建有针对性的活动。 请参阅“[AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)”。

延伸阅读

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)