Erstellen und Verwalten von Sicherheitskampagnen

Du kannst Sicherheitskampagnen direkt über die Sicherheitsübersicht für deine Organisation verwalten.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

Organizations on GitHub Team or GitHub Enterprise Cloud with GitHub Code Security enabled

In diesem Artikel

Erstellen einer Sicherheitskampagne

Sicherheitskampagnen werden über die Registerkarte Security für deine Organisation erstellt und verwaltet.

Du hast folgende Möglichkeiten, um die Warnungen auszuwählen, die in die Kampagne aufgenommen werden sollen:

  • Kampagnenvorlagen: Die Kampagnenvorlagen enthalten Filter für die am häufigsten verwendeten Warnungsoptionen. Sie erfordern auch, dass GitHub Copilot Autofix für alle enthaltenen Warnungstypen unterstützt werden (d. h. autofix:supported).
  • Benutzerdefinierte Filter: Durch das Erstellen einer Kampagne mit benutzerdefinierten Filtern lassen sich eigene Kriterien für die Auswahl von Warnungen für die Kampagne festlegen. So kannst du deine Kampagne an die spezifischen Anforderungen deiner Organisation anpassen.

In addition, you can use the REST API to create and interact with campaigns more efficiently and at scale. For more information, see REST API endpoints for security campaigns.

Kampagne erstellen

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. In the left sidebar, click Campaigns.

  4. Klicke auf Create campaign , und wähle eine der folgenden Optionen aus:

    • Klicke auf From template, und wähle dann eine vordefinierte Kampagnenvorlage aus der Liste aus.
    • Klicke auf From code scanning filters, und füge dann Filter hinzu, um eine Auswahl an Warnungen für deine Kampagne festzulegen. Siehe Beispiele für nützliche Filter.

  5. Überprüfe die ausgewählten Warnungen, die in die Kampagne aufgenommen werden sollen, und passe die Filter bei Bedarf an. Es dürfen höchstens 1000 Warnungen ausgewählt werden.

  6. Wenn du mit dem Inhalt der Kampagne zufrieden bist, klicke auf Save as. Wähle dann, ob du einen Kampagnenentwurf erstellen möchtest oder ob du direkt die Details der Kampagne bearbeiten möchtest, bevor du sie veröffentlichst:

    • Wenn du den Inhalt und die Details der Kampagne vor deren Veröffentlichung überprüfen oder Feedback zur Implementierung der Kampagne erhalten möchtest, klicke auf Draft campaign.
    • Wenn du die Kampagne veröffentlichen und auf eine Überprüfungsphase verzichten möchtest, klicke auf Publish campaign.

  7. Wahlweise kannst du, wenn du einen Kampagnenentwurf erstellt hast, die Details der Kampagne bearbeiten, speichern und überprüfen:

    • Bearbeite „Campaign Name“ und „Short description“ so, dass sie deinen Kampagnenanforderungen entsprechen, und verknüpfe alle Ressourcen, die für die Kampagne benötigt werden.
    • Definiere unter „Campaign due date“ ein Fälligkeitsdatum für die Kampagne, und wähle unter „Campaign managers“ mindestens eine primäre Kontaktperson für die Kampagne aus. Das Kampagnenmanagement darf nur Benutzenden oder Teams zugewiesen werden, die eine Besitzer- oder Sicherheitsmanagementrolle in der Organisation innehaben.
    • Gib unter „Contact link“ optional einen Kontaktlink an, über den das Kampagnenmanagement kontaktiert werden kann, z. B. einen Link zu einer Diskussion in GitHub Discussions oder einem anderen Kommunikationskanal.
    • Klicke auf Entwurf speichern.
    • Wenn du die Kampagne veröffentlichen möchtest, klicke oben rechts auf Review and publish.

  8. Auf der Seite „Publish campaign“ kannst du die Details der Kampagne einsehen und bearbeiten:

    • Kampagnenname
    • Kurze Beschreibung
    • Fälligkeitsdatum
    • Kampagnenmanager
    • Kontaktlink

  9. Optional kannst du auf der Seite „Publish campaign“ unter „Automations“ das Kontrollkästchen neben „Create issues for NUMBER repositories in this campaign“ aktivieren, um in jedem Repository der Kampagne Issues zu erstellen.

  10. Klicke auf Publish campaign.

Die Sicherheitskampagne wird erstellt, und die Übersichtsseite der Kampagne wird angezeigt.

Hast du erfolgreich eine Sicherheitskampagne für deine Organisation erstellt?

Ja Nein

Beispiele für nützliche Filter

Alle Vorlagenfilter enthalten die folgenden nützlichen Filter:

  • is:open schließt nur Warnungen ein, die im Standardbranch geöffnet sind.
  • autofilter:true schließt nur Warnungen ein, die sich im Anwendungscode befinden.
  • autofix:supported schließt nur Warnungen ein, die für Regeln gelten, die für GitHub Copilot Autofix unterstützt werden.

Nachdem du diese Hauptfilter angewendet hast, solltest du einen Filter hinzufügen, um die Ergebnisse auf bestimmte Regelnamen, Schweregrade oder Tags zu beschränken. Zum Beispiel:

  • is:open autofilter:true autofix:supported rule:java/log-injection, um nur Warnungen für die Protokolleinspeisung in Java-Code anzuzeigen.
  • is:open autofilter:true autofix:supported tag:external/cwe/cwe-117, um nur Warnungen für „CWE 117: Improper Output Neutralization for Logs“ anzuzeigen. Dazu gehört die Protokolleinspeisung in Java und anderen Sprachen.
  • is:open autofilter:true autofix:supported severity:critical, um nur Warnungen mit dem Sicherheitsschweregrad „Critical“ anzuzeigen.

Tip

Wenn du ein Schlüsselwort gefolgt von Doppelpunkt in das Suchfeld eingibst, wird eine Liste aller gültigen Werte angezeigt, z. B. tag:.

Weitere Informationen zu den durch CodeQL ausgeführten Regeln und zur Unterstützung von Autofix findest du unter Abfragelisten für die Standardabfragesuites.

Weitere Informationen zum Filtern von Warnungen findest du unter Bewährte Methoden zum Beheben von Sicherheitswarnungen im großen Stil und Filtern von Warnungen in der Sicherheitsübersicht.

Starten einer Sicherheitskampagne

Wenn du eine Kampagne erstellst, werden alle Warnungen automatisch an GitHub Copilot Autofix übermittelt, um je nach Kapazität verarbeitet zu werden. Dadurch wird sichergestellt, dass Vorschläge für Warnungen, die in Pull Requests gefunden werden, nicht durch eine neue Kampagne verzögert werden. In den meisten Fällen sollten alle Vorschläge, die erstellt werden können, innerhalb einer Stunde bereit sind. Bei Hochbetrieb oder besonders komplexen Warnungen dauert es länger.

Wie Entwickler wissen, dass eine Sicherheitskampagne gestartet wurde

Wenn eine Kampagne gestartet wird, werden alle Personen, die Schreibzugriff auf ein Repository haben, das in der Kampagne enthalten ist, und „All activity“ oder „security alerts“ in diesem Repository abonniert haben, benachrichtigt.

Zusätzlich zu den automatisch gesendeten Benachrichtigungen wird die neue Kampagne in der Randleiste der Registerkarte „Security“ für jedes enthaltene Repository angezeigt. Weitere Informationen zur Entwicklungsumgebung findest du unter Beheben von Warnungen in einer Sicherheitskampagne.

Steigern der Interaktion mit der Sicherheitskampagne

Die beste Möglichkeit zur Steigerung der Interaktion mit einer Kampagne besteht darin, sie für die Teams zu veröffentlichen, mit denen du zusammenarbeiten möchtest, um Warnungen zu beheben. Du könntest beispielsweise mit Engineering-Managern zusammenarbeiten, um einen ruhigeren Entwicklungszeitraum auszuwählen, um eine Reihe von Sicherheitskampagnen auszuführen, die sich jeweils auf einen anderen Warnungstyp konzentrieren und Trainingssitzungen umfassen. Weitere Ideen findest du unter Bewährte Methoden zum Beheben von Sicherheitswarnungen im großen Stil.

Bearbeiten von Sicherheitskampagnendetails

Du kannst den Namen, die Beschreibung, das Fälligkeitsdatum und den Manager für eine Kampagne bearbeiten.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. In the left sidebar, click Campaigns.

  4. Klicke in der Kampagnenliste auf den Namen der Kampagne, um die Kampagnenverfolgungsansicht anzuzeigen.

  5. Klicke in der Titelzeile der Kampagne auf , und wähle Edit campaign aus.

  6. Nimm im Dialogfeld „Edit campaign“ deine Änderungen vor, und klicke dann auf Save changes.

Die Änderungen werden sofort vorgenommen.

Schließen, erneutes Öffnen oder Löschen von Sicherheitskampagnen

Es gibt ein Limit von zehn aktiven Kampagnen. Wenn eine Kampagne abgeschlossen ist oder du sie anhalten möchtest, solltest du sie schließen. Du kannst weiterhin alle geschlossenen Kampagnen in der Kampagnenliste „Closed“ anzeigen und eine geschlossene Kampagne erneut öffnen.

Wenn du die Kampagne oder die zugehörigen Daten nicht mehr benötigst, kannst du sie löschen.

Schließen einer Kampagne

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. In the left sidebar, click Campaigns.

  4. Klicke rechts neben der Kampagne, die du schließen möchtest, auf , und wähle dann Close campaign aus.

Erneutes Öffnen einer geschlossenen Kampagne

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. In the left sidebar, click Campaigns.

  4. Klicke oberhalb der Liste der Kampagnen auf Closed, um die Liste der geschlossenen Kampagnen anzuzeigen.

  5. Klicke rechts neben der Kampagne, die du erneut öffnen möchtest, auf , und wähle dann Reopen campaign aus.

Löschen einer Kampagne

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. In the left sidebar, click Campaigns.

  4. Klicke rechts neben der Kampagne, die du löschen möchtest, auf , und wähle dann Delete campaign aus.

Nächste Schritte