Priorizando alertas do Dependabot e de verificação de código no contexto de produção

Concentre a remediação no risco real ao direcionar alertas de Dependabot e code scanning em artefatos implantados na produção, usando metadados de registros externos como JFrog Artifactory, seus próprios fluxos de trabalho de CI/CD ou de Microsoft Defender for Cloud.

Neste artigo

Os gerentes do AppSec (Segurança do Aplicativo) geralmente são sobrecarregados por um alto volume de alertas, muitos dos quais podem não representar risco real porque o código afetado nunca chega à produção. Ao associar o contexto de produção aos alertas, você pode filtrar e priorizar vulnerabilidades que afetam os artefatos realmente aprovados para ambientes de produção. Isso permite que sua equipe concentre os esforços de correção nas vulnerabilidades mais importantes, reduzindo o ruído e melhorando sua postura de segurança.

1. Associar artefatos ao contexto de produção

          GitHub's linked artifacts page permite que você forneça contexto de produção para os builds da sua empresa usando a API REST ou uma integração com parceiros. Em seguida, o Teams pode usar esse contexto para priorizar Dependabot e code scanning alertas. Para saber mais, confira [AUTOTITLE](/code-security/concepts/supply-chain-security/linked-artifacts).

Para fornecer contexto de produção, você deve configurar seu sistema para:

  • Atualize os registros de armazenamento sempre que um artefato for promovido a um repositório de pacotes aprovado para produção.

  • Atualize os registros de implantação quando um artefato é implantado em um ambiente de produção.

            GitHubprocessa esses metadados e usa-os para alimentar filtros de alerta, como `artifact-registry-url` e `artifact-registry` de registros de armazenamento e `has:deployment``runtime-risk` de registros de implantação.

Para obter mais informações sobre como atualizar registros, consulte Carregando dados de armazenamento e implantação no linked artifacts page.

2. Usar filtros de contexto de produção

Os filtros de contexto de produção são disponibilizados em visões de alerta e visões de campanha de segurança sob a guia Security and quality.

  •         **
        Dependabot alerts visualização**: Consulte [Visualização Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts).

  •         **
        Code scanning exibição de alertas**: consulte [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

  •         **Exibição da campanha de segurança**: consulte [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Depois que a lista de alertas for exibida, use os filtros artifact-registry-url ou artifact-registry nas exibições da organização para se concentrar em vulnerabilidades que afetam artefatos presentes na produção.

  • Para seu próprio repositório de artefatos que está hospedado em my-registry.example.com, você usaria:

    Text
    artifact-registry-url:my-registry.example.com

  • Se você usar o JFrog Artifactory, poderá usar artifact-registry sem nenhuma configuração adicional em GitHub:

    Text
    artifact-registry:jfrog-artifactory

Você também pode usar os filtros has:deployment e runtime-risk para focar em vulnerabilidades que os metadados de implantação indicam como estando em implantação ou em risco de vulnerabilidades de tempo de execução. Esses dados serão preenchidos automaticamente se você tiver se conectado MDC. Por exemplo:

  • Para se concentrar em alertas no código implantado exposto à Internet, você usaria:

    Text
    has:deployment AND runtime-risk:internet-exposed

Você também pode combinar esses filtros de contexto de produção com outros filtros, como EPSS:

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. Corrigir alertas no código de produção

Agora que você identificou os alertas que colocam seu código de produção em risco de exploração, você precisa corrigi-los como uma questão de urgência. Sempre que possível, use a automação para reduzir a barreira à correção.

  •         **
        Dependabot alerts:** use solicitações de pull automatizadas para correções de segurança. Confira [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

  •         **
        Code scanning alertas:** Criar campanhas direcionadas com Autofixo do Copilot. Confira [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns).

Leitura adicional

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)