セキュリティ キャンペーンでのアラートの修正

セキュリティ キャンペーンに参加する方法と、それがキャリアとコードにどのように役立つかについて説明します。

この機能を使用できるユーザーについて

書き込み アクセスを持つユーザー

GitHub Code Security が有効になっている GitHub Team 上の organization

この記事の内容

Note

セキュリティ キャンペーンは現在パブリック プレビュー段階にあり、変更される可能性があります。

セキュリティ キャンペーンとは

セキュリティ キャンペーンとは、organization の所有者またはセキュリティ マネージャーが修復のために選択したリポジトリの既定ブランチで検出される、一連のセキュリティ アラートです。 [All activity] または [Security alerts] のメール通知をサブスクライブしている場合、書き込みアクセス権限を持つリポジトリにアラートを含むセキュリティ キャンペーンが作成されると通知されます。 また、1 つ以上のキャンペーン アラートを含むリポジトリの [Security] タブを開くと、ビューのサイドバーでキャンペーン名を確認できます。

キャンペーンで選択された 1 つ以上のアラートを修正することで、セキュリティ キャンペーンに参加できます。

キャンペーンのアラートを修正する利点とは

深刻なセキュリティの問題をコードから取り除くという利点に加えて、セキュリティ キャンペーンのアラートには、リポジトリ内の別のアラートの修正と比較して、他にもいくつかの利点があります。

  • セキュリティ チームには共同作業を行うキャンペーン マネージャーがおり、キャンペーン アクティビティについて話し合うための特定の連絡先リンクがあります。
  • 会社にとって重要なセキュリティ アラートを修正していることがわかります。
  • 場合によっては、対象となるトレーニング資料にアクセスできる可能性があります。
  • GitHub Copilot Autofix の提案を要求する必要はありません。これは開始時点で既に使用可能です。
  • GitHub Copilot Chat にアクセスできる場合は、アラートおよび修正候補について質問できます。
  • 安全なコーディングに関する知識を向上させ、実際に活用します。

セキュリティ キャンペーンでのアラートの表示

キャンペーンのターゲットが、書き込みアクセス権限を持つリポジトリ内のセキュリティ アラートである場合は、そのキャンペーン内のリポジトリ アラートの一覧に移動できます。

  • リポジトリの [Security] タブを表示し、サイドバーの [Campaigns] の下でキャンペーンの 1 つをクリックします。
  • リポジトリの [All activity] または [Security alerts] のメール通知を有効にしている場合は、キャンペール メールの [View security campaign] をクリックします。
  • organization の複数のリポジトリへの書き込みアクセス権限がある場合は、organization の [Security] タブを表示し、サイドバーの [Campaigns] タイトルの下でキャンペーンの 1 つをクリックします。

このビューには、キャンペーンの現在のリポジトリのアラートが表示されます。これは "SQL injection (CWE-89)" (灰色で強調表示) と呼ばれ、"octocat" (濃いオレンジ色の枠で囲まれている) によって管理されています。

"SQL injection (CWE-89)" キャンペーンが表示され "キャンペーン マネージャー" が濃いオレンジ色の枠で囲まれた、リポジトリ キャンペーン ビューのスクリーンショット。

セキュリティ キャンペーンでのアラートの修正

セキュリティ アラートをトリガーしたコードと修正候補を表示する場合は、アラート名をクリックしてアラート ビューを表示します。

  1. 1 つ以上のセキュリティ アラートに取り組む準備ができたら、既にそれらのアラートの作業を行っている人が他にいないことを確認します。 キャンペーン ビューでは、修正が既に進行中である可能性があるアラートに Git アイコンが表示されます。 アイコンをクリックすると、リンクされた作業が表示されます。

    • オープンしているドラフトの pull request によってこのアラートを修正できます。
    • オープンしている pull request によってこのアラートを修正できます。
    • ブランチにこのアラートを修正するための変更が含まれることがあります。

  2. リポジトリのキャンペーン ビューで、修正しようとするアラートを選択します。

  3. セキュリティ アラートを作業ブランチに接続します。

    • 選択したアラートに対して少なくとも 1 つの "自動修正" 候補がある場合、[Commit autofix] をクリックし、変更を新しいブランチまたは既存のブランチにコミットします。
    • 選択したアラートに対して自動修正候補がない場合は、[Create new branch] をクリックして新しいブランチを作成し、そこでアラートの修正に取り組みます。

  4. アラートの修正とソリューションのテストが完了したら、変更の pull request を作成して、キャンペーン マネージャーにレビューを要求します。

Tip

キャンペーンの複数のリポジトリに対して書き込みアクセス許可がある場合は、リポジトリの [Campaign progress] ボックスのリンクをクリックして、organization レベルのキャンペーン ビューを表示します。 このビューからリポジトリを開くと、キャンペーン アラートビューが表示されます。

安全なコーディングのための GitHub Copilot Chat の使用

Copilot Chat にアクセスできる場合は、脆弱性や修正候補、修正が包括的であることをテストする方法について、AI に質問できます。

アラートに取り組むときに Copilot Chat を最大限に利用するには、Copilot Chat に対して、自分の質問に回答する際に GitHub Advanced Security スキルを使うように明示的に頼みます。

例: 「GitHub Advanced Security スキルを使って、このアラートがコードに脆弱性をもたらすしくみについて説明してください。」

Tip

リポジトリのセマンティック コード検索インデックスが最新の場合、リポジトリ コンテキストでこのような自然言語の質問に答える Copilot の機能は最適化されます。 詳しくは、「Copilot Chat のリポジトリのインデックス作成」をご覧ください。