Criando e gerenciando campanhas de segurança

Você pode gerenciar campanhas de segurança diretamente na visão geral de segurança da sua organização.

Quem pode usar esse recurso?

Proprietários da organização, gerentes de segurança e membros da organização com a função de administrador

Organizações no GitHub Team ou GitHub Enterprise Cloud com o GitHub Code Security habilitado

Neste artigo

Como criar uma campanha de segurança

As campanhas de segurança são criadas e gerenciadas por meio da guia Segurança da sua organização.

Escolha os alertas que deseja incluir na campanha usando:

  • Modelos de campanha: modelos de campanha podem conter filtros para as seleções de alerta mais comuns. Todos eles também incluem o requisito de que há suporte para o Correção automática do GitHub Copilot em todos os tipos de alerta incluídos (ou seja, autofix:supported).
  • Filtros personalizados: criar uma campanha usando filtros personalizados permite que você defina seus próprios critérios para selecionar alertas para a campanha, bem como adaptar a campanha às necessidades específicas de sua organização.

In addition, you can use the REST API to create and interact with campaigns more efficiently and at scale. For more information, see Pontos de extremidade de API REST para campanhas de segurança.

Criar uma campanha

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral esquerda, clique em Campaigns.

  4. Clique em Create campaign e selecione uma destas opções:

    • Clique em From templatee selecione um modelo de campanha predefinido na lista.
    • Clique em From code scanning filters e, em seguida, adicione filtros para definir um subconjunto de alertas para a campanha. Confira Exemplos de filtros úteis.

  5. Examine o conjunto de alertas a serem incluídos na campanha e ajuste os filtros conforme necessário. Certifique-se de escolher 1.000 alertas ou menos.

  6. Quando estiver satisfeito com o escopo da campanha, clique em Save as, escolha se deseja criar uma campanha de rascunho ou finalize os detalhes da campanha antes de publicá-la:

    • Se você planeja revisar o escopo e os detalhes da campanha antes do lançamento ou receber comentários sobre a implementação dela, clique em Draft campaign.
    • Se você pretende publicar a campanha e não precisa de uma fase de revisão, clique em Publish campaign.

  7. Opcionalmente, se você optou por criar uma campanha de rascunho, editar, salvar e revisar os detalhes da campanha:

    • Edite o “Nome da campanha” e a “Descrição curta” de acordo com as necessidades da campanha e para vinculá-los a todos os recursos que dão suporte à campanha.
    • Defina uma “Data de conclusão da campanha” e selecione um ou mais “Gerentes de campanha” como os principais contatos da campanha. Os gerentes de campanha precisam ser usuários ou equipes que são proprietários ou gerentes de segurança na organização.
    • Opcionalmente, forneça um “Link de contato”, por exemplo, um link para o GitHub Discussions ou outro canal de comunicação, para entrar em contato com os gerentes de campanha.
    • Clique em Salvar rascunho.
    • Quando estiver pronto para publicar a campanha, no canto superior direito, clique em Review and publish.

  8. Na página "Publish campaign", revise ou edite os detalhes da campanha:

    • Nome da campanha
    • Descrição breve
    • Data de conclusão
    • Gerentes da campanha
    • Link de contato

  9. Opcionalmente, para criar issues de campanha em cada repositório incluído na campanha, na página "Publish campaign", em "Automations", marque a caixa de seleção ao lado de "Create issues for NÚMERO repositories in this campaign".

  10. Clique em Publish campaign.

A campanha de segurança será criada e a página de visão geral da campanha será exibida.

Você criou com êxito uma campanha de segurança para a organização?

Sim Não

Exemplos de filtros úteis

Todos os filtros de modelo incluem os seguintes filtros úteis:

  • is:open inclui apenas os alertas abertos no branch padrão.
  • autofilter:true inclui apenas os alertas que parecem estar no código do aplicativo.
  • autofix:supported inclui apenas os alertas referentes às regras com suporte para o Correção automática do GitHub Copilot.

Depois que você incluir esses filtros básicos, o ideal será adicionar um filtro para limitar os resultados a uma severidade, uma tag ou um nome de regra específico. Por exemplo:

  • is:open autofilter:true autofix:supported rule:java/log-injection para mostrar apenas os alertas para injeção de log no código Java.
  • is:open autofilter:true autofix:supported tag:external/cwe/cwe-117 para mostrar apenas os alertas para “CWE 117: Neutralização de saída inadequada para logs”. Isso inclui a injeção de log em Java e em outras linguagens.
  • is:open autofilter:true autofix:supported severity:critical para mostrar apenas alertas com severidade de segurança crítica.

Dica

Quando você insere uma palavra-chave seguida de dois-pontos no campo de pesquisa, uma lista de todos os valores válidos é exibida, por exemplo, tag:.

Para obter mais informações sobre as regras executadas pelo CodeQL e sobre o suporte à correção automática, confira Listas de consultas para conjuntos de consultas padrão.

Para obter mais informações sobre como filtrar alertas, confira Melhores práticas para corrigir alertas de segurança em escala e Visão geral da filtragem de alertas na segurança.

Como iniciar uma campanha de segurança

Quando você cria uma campanha, todos os alertas são enviados automaticamente para o Correção automática do GitHub Copilot de modo a serem processados conforme a capacidade permitir. Isso garante que as sugestões de alertas encontrados em pull requests não sejam atrasadas por uma nova campanha. Na maioria dos casos, você descobrirá que todas as sugestões que podem ser criadas ficam prontas em até uma hora. Nos horários mais movimentados do dia ou para alertas particularmente complexos, isso levará mais tempo.

Como os desenvolvedores sabem que uma campanha de segurança foi iniciada

Quando uma campanha é iniciada, qualquer pessoa com acesso de gravação a um repositório incluído na campanha e que se inscreveu para assistir a "Todas as atividades" ou "alertas de segurança" nesse repositório é notificada.

Além das notificações automáticas enviadas, a nova campanha é mostrada na barra lateral da guia “Segurança” para cada repositório incluído. Para obter mais informações sobre a experiência do desenvolvedor, confira Como corrigir alertas em uma campanha de segurança.

Como aumentar a participação na campanha de segurança

A melhor maneira de aumentar a participação em uma campanha é publicá-la para as equipes com as quais você deseja colaborar para corrigir os alertas. Por exemplo, você pode trabalhar com gerentes de engenharia para escolher um período de desenvolvimento mais tranquilo a fim de realizar uma série de campanhas de segurança, cada uma voltada para um tipo diferente de alerta, com sessões de treinamento associadas. Para ter mais ideias, confira Melhores práticas para corrigir alertas de segurança em escala.

Como editar os detalhes da campanha de segurança

Você pode editar o nome, a descrição, a data de conclusão e o gerente de uma campanha.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral esquerda, clique em Campaigns.

  4. Na lista de campanhas, clique no nome da campanha para mostrar a exibição de acompanhamento dela.

  5. Na linha de título da campanha, clique em e selecione Edit campaign.

  6. Na caixa de diálogo “Editar campanha”, faça as alterações e selecione Salvar alterações.

As alterações serão feitas imediatamente.

Fechando, reabrindo e excluindo campanhas de segurança

Há um limite de dez campanhas ativas. Quando uma campanha for concluída ou se você quiser pausá-la, será preciso fechá-la. Você ainda pode exibir todas as campanhas fechadas na lista de campanhas "Closed", e pode reabrir uma campanha fechada.

Se você não precisar reter a campanha ou os dados dela, poderá excluí-la.

Fechar uma campanha

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral esquerda, clique em Campaigns.

  4. À direita da campanha que deseja fechar, clique em e selecione Close campaign.

Reabrir um campanha fechada

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral esquerda, clique em Campaigns.

  4. Acima da lista de campanhas, clique em Closed para exibir a lista de campanhas fechadas.

  5. À direita da campanha que deseja reabrir, clique em e selecione Reopen campaign.

Excluir uma campanha

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral esquerda, clique em Campaigns.

  4. À direita da campanha que deseja excluir, clique em e selecione Delete campaign.

Próximas etapas