После определения оповещений системы безопасности следующим шагом является определение наиболее срочных оповещений и их исправление. Кампании по безопасности — это способ группировать оповещения и предоставлять им общий доступ к разработчикам, поэтому вы можете сотрудничать с целью устранения уязвимостей в коде.
Кампании по безопасности в повседневной работе
Вы можете использовать кампании безопасности для поддержки многих целей в качестве лидера безопасности.
- Улучшение состояния безопасности компании путем ведущих работ по исправлению оповещений.
- Повышение безопасности для разработчиков путем создания кампании, связанной с code scanning оповещений для совместной работы.
- Создание отношений совместной работы между командой безопасности и разработчиками для повышения общего владения оповещениями системы безопасности.
- Предоставление разработчикам ясности в наиболее срочных оповещениях для исправления и мониторинга исправлений оповещений.
Преимущества использования кампаний безопасности
Кампания по безопасности имеет множество преимуществ по сравнению с другими способами поощрения разработчиков к исправлению оповещений системы безопасности. В частности,
- Разработчики уведомляются о любых кампаниях безопасности, в которые они могут вносить свой вклад.
- Разработчики могут видеть оповещения, выделенные для исправления, не оставляя обычные рабочие процессы.
- Каждая кампания имеет именованную точку контакта для вопросов, отзывов и совместной работы.
- Для оповещений code scanning Автофикс GitHub Copilot автоматически активируется для предложения разрешения.
Вы можете использовать один из шаблонов для выбора группы тесно связанных оповещений для кампании. Это позволяет разработчикам создавать знания, полученные путем разрешения одного оповещения и использования его для исправления нескольких дополнительных возможностей, предоставляя им стимул для устранения нескольких оповещений.
Кроме того, rest API можно использовать для создания и взаимодействия с кампаниями более эффективно и в масштабе. Дополнительные сведения см. в разделе Конечные точки REST API для кампаний безопасности.
Назначение оповещений
Примечание.
Параметр назначения оповещений code scanning и secret scanning пользователям в настоящее время находится в общедоступной предварительной версии и подлежит изменению.
Вы можете назначить оповещение code scanning или secret scanning любому пользователю, у которого есть доступ на запись для репозитория.
Если получатель данных secret scanning не может просмотреть список оповещений, их разрешения временно создаются для этого оповещения. Все дополнительные разрешения отзываются при отмене их назначения в оповещении.