Приоритет оповещений о сканировании кода в Dependabot и с использованием производственного контекста

Сосредоточьте устранение реальных рисков, нацеливаясь на оповещения Dependabot и code scanning в артефактах, развернутых в продакшене, используя метаданные из внешних реестров, таких как JFrog Artifactory, ваших собственных рабочих процессов CI/CD или из Microsoft Defender for Cloud.

В этой статье

Примечание.

Контекст производства и интеграция с Microsoft Defender for Cloud находятся в public preview и могут измениться.

Приоритизирование оповещений с использованием производственного контекста

Менеджеры по безопасности приложений (AppSec) часто сталкиваются с большим объёмом оповещений, многие из которых могут не представлять реального риска, поскольку затронутый код так и не попадает в продакшн. Связав контекст рабочей среды с оповещениями, вы можете фильтровать и определять приоритеты уязвимостей, влияющих на артефакты, фактически утвержденные для рабочих сред. Это позволяет вашей команде сосредоточить усилия по исправлению уязвимостей, которые наиболее важны, уменьшая шум и повышая уровень безопасности.

Связывание производственного контекста с оповещениями

GitHub позволяет предоставлять производственный контекст для оповещений Dependabot и code scanning с помощью REST API:

  •         [Запись хранения](/rest/orgs/artifact-metadata#create-artifact-metadata-storage-record)

  •         [Запись развертывания](/rest/orgs/artifact-metadata#create-an-artifact-deployment-record)

API записи хранения

Этот API позволяет реестрам пакетов или рабочим процессам GitOps отправлять данные жизненного цикла артефакта в GitHub. Вам следует настроить систему так, чтобы она вызывала конечную точку всякий раз, когда артефакт продвигается в репозиторий, одобренный для производства.

GitHub обрабатывает эти метаданные и использует его для питания новых фильтров оповещений, таких как artifact-registry-url и artifact-registry. Дополнительные сведения см. в разделе "Создание записи хранилища метаданных артефактов" в документации по REST API.

Совет

Если вы используете JFrog Artifactory, вам не нужно выполнять пользовательскую интеграцию. Artifactory изначально интегрируется с API записи хранения. Необходимо включить интеграцию только в параметрах Artifactory, а Artifactory автоматически выдает события повышения производительности в GitHub. Для инструкций по установке см. JFrog и GitHub Integration: JFrog for GitHub Dependabot в документации JFrog.

API записи развертывания

Этот API позволяет системам отправлять данные о развертывании конкретного артефакта в GitHub, такие как его название, дайджест, среды, кластер и развертывание.

GitHub обрабатывает эти метаданные и использует его для питания новых фильтров оповещений, таких как has:deployment и runtime-risk. Для получения дополнительной информации см. Создать запись развертывания артефактов в документации REST API.

Совет

Если вы используете Microsoft Defender for Cloud (MDC) и подключите свой экземпляр к организации GitHub, MDC автоматически отправит данные развертывания и выполнения на GitHub. Для получения дополнительной информации см. Быстрый старт: Соедините вашу GitHub Окружение с Microsoft Defender for Cloud в документации для MDC.

Включать и использовать контекст производства для приоритизации оповещений

1. Выявлять и докладывать о продвижении и развертывании производственных артефактов

В вашем рабочем процессе CI/CD или GitOps, когда артефакт продвигается в репозиторий пакетов, одобренный для продакшена, вызовите API записи хранения, чтобы отправить метаданные артефакта в GitHub. Всякий раз, когда артефакт развёртается в продакшене, вызовите API записи развертывания, чтобы отправить дополнительные метаданные по артефакту в GitHub.

2. Используйте фильтры производственного контекста

Фильтры производственного контекста доступны в представлениях оповещений и в видах кампаний безопасности во вкладке «Безопасность ».

  •         **Dependabot alerts view**: См. [Просмотр Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **Code scanning просмотр оповещений**: см. [АВТОЗАГОЛОВОК](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Обзор кампании безопасности**: см. [АВТОЗАГОЛОВОК](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

После отображения списка оповещений используйте artifact-registry-url фильтры OR artifact-registry в видах организаций, чтобы сосредоточиться на уязвимостях, затрагивающих артефакты в производстве.

  • Для вашего собственного репозитория артефактов, размещённого по адресу my-registry.example.com, вы будете использовать:

    Text
    artifact-registry-url:my-registry.example.com

  • Если вы используете JFrog Artifactory, вы можете использовать artifact-registry его без дополнительной настройки в GitHub:

    Text
    artifact-registry:jfrog-artifactory

Вы также можете использовать has:deployment фильтры runtime-risk AND, чтобы сосредоточиться на уязвимостях, которые метаданные развертывания показывают как развертывание или находящиеся под риском уязвимостей во время выполнения. Эти данные заполняются автоматически, если вы подключили MDC. Рассмотрим пример.

  • Чтобы сосредоточиться на оповещениях в развернутом коде, доступном в интернете, вы будете использовать:

    Text
    has:deployment AND runtime-risk:internet-exposed

Вы также можете объединить эти фильтры контекста производства с другими фильтрами, такими как EPSS:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Устранение оповещений в производственном коде

Теперь, когда вы выявили оповещения, которые подвергают ваш производственный код риску эксплуатации, вам нужно срочно их устранить. По возможности используйте автоматизацию для снижения барьера для устранения процедур.

  •         **Dependabot alerts:** Используйте автоматические pull requests для исправлений безопасности. См [. раздел AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **Code scanning оповещения:** Создавайте таргетированные кампании с помощью Copilot Autofix. См [. раздел AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Дополнительные материалы

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)