Como corrigir alertas em uma campanha de segurança

Saiba como localizar e corrigir alertas em uma campanha de segurança.

Quem pode usar esse recurso?

Usuários com com acesso para gravação

Organizações no GitHub Team com o GitHub Code Security habilitado

Neste artigo

Como ver os alertas em uma campanha de segurança

Quando uma campanha direciona alertas de segurança em um repositório no qual você tem permissão de escrita, você pode navegar até a lista de alertas do repositório na campanha.

  • Exiba a guia Security do repositório e clique em uma das campanhas em “Campaigns” na barra lateral.
  • Se você tiver habilitado as notificações por email para “Todas as atividades” ou “Alertas de segurança” no repositório, selecione Exibir campanha de segurança no email da campanha.
  • Caso tenha acesso para gravação a mais de um repositório na organização, exiba a guia Security da organização e selecione uma das campanhas em “Campaigns” na barra lateral.

Essa exibição mostra os alertas no repositório atual para uma campanha chamada “Injeção de SQL (CWE-89)” (realçado em cinza) que é gerenciada por “octocat” (contornado em laranja-escuro).

Captura de tela da exibição da campanha do repositório com a campanha “Injeção de SQL (CWE-89)” exibida e o “Gerente de campanha” contornado em laranja-escuro.

Como corrigir alertas em uma campanha de segurança

Caso deseje ver o código que disparou o alerta de segurança e a correção sugerida, selecione o nome do alerta para mostrar a exibição de alertas.

  1. Quando estiver pronto para trabalhar em um ou mais alertas de segurança, verifique se ninguém mais está trabalhando neles. Na exibição de campanha, os ícones do Git são exibidos nos alertas em que uma correção já possa estar em andamento. Selecione um ícone para ver o trabalho vinculado:

    • uma pull request de rascunho aberta pode corrigir esse alerta.
    • uma pull request em aberto pode corrigir esse alerta.
    • um branch pode conter alterações para corrigir esse alerta.

  2. Na exibição de campanha do repositório, selecione os alertas que deseja corrigir.

  3. Conecte os alertas de segurança a um branch de trabalho:

    • Se, pelo menos, uma sugestão de “Correção automática” estiver disponível para os alertas selecionados, selecione Fazer commit da correção automática e faça commit das alterações em um branch novo ou existente.
    • Se nenhuma sugestão de correção automática estiver disponível para os alertas selecionados, selecione Criar branch para criar um branch em que você trabalhará na correção dos alertas.

  4. Quando terminar de corrigir os alertas e testar as soluções, crie uma pull request para as alterações e solicite uma revisão do gerente de campanha.

Dica

Se tiver permissão de gravação em mais de um repositório na campanha, selecione o link na caixa “Progresso da campanha” no repositório para mostrar a exibição de nível da organização da campanha. Quando você abre um repositório por meio dessa exibição, a exibição de alertas da campanha é exibida.

Usando o GitHub Copilot Chat para codificação segura

Caso tenha acesso ao Copilot Chat, faça perguntas à IA sobre a vulnerabilidade, a correção sugerida e como testar se a correção é abrangente.

Dica

A capacidade do Copilot de responder a perguntas em linguagem natural como essas em um contexto de repositório é otimizada quando o índice de pesquisa de código semântico do repositório está atualizado. Para saber mais, confira Indexar repositórios para o Copilot Chat.