修复安全活动中的警报

了解如何在安全活动中查找和修复警报。

谁可以使用此功能?

具有写入访问权限的用户

启用了 GitHub Code Security 的 GitHub Team 上的组织

本文内容

查看安全活动中的警报

当活动以你具有写权限的存储库中的安全警报为目标时,你可以导航到活动中的存储库警报列表。

  • 显示仓库的“Security”选项卡,单击边栏中“Campaigns”标题下的其中一项活动****。
  • 如果已在存储库中启用“所有活动”或“安全警报”的电子邮件通知,请单击活动电子邮件中的“查看安全活动”****。
  • 如果对组织中的多个仓库具有写入访问权限,可显示组织的“Security”选项卡,然后单击边栏中“Campaigns”下的其中一项活动****。

此视图显示由“octocat”管理(以深橙色框出)的名为“SQL 注入(CWE-89)”(以灰色突出显示)的活动的当前存储库中的警报。

该屏幕截图显示了存储库活动视图,其中显示“SQL 注入(CWE-89)”活动和“活动管理员”(以深橙色框出)。

修复安全活动中的警报

若要查看触发安全警报的代码和建议修复方法,请单击警报名称以显示警报视图。

  1. 准备好处理一条或多条安全警报后,请检查是否有人正在处理这些警报。 在活动视图中,git 图标会显示在可能正在进行修复的警报上。 单击图标以显示链接的工作:

    • 开放式草稿拉取请求可修复此警报。
    • 开放式拉取请求可修复此警报。
    • 分支可能包含用于修复此警报的更改。

  2. 在存储库的活动视图中,选择要修复的警报。

  3. 将安全警报连接到工作分支:

    • 如果对于所选警报至少有一个“自动修复”建议可用,请单击“提交自动修复”,并将更改提交到新分支或现有分支****。
    • 如果对于所选警报没有可用的自动修复建议,请单击“创建新分支”,以创建可在其中修复警报的新分支****。

  4. 完成警报修复并测试解决方案后,请针对更改创建拉取请求,并请求活动管理员进行审查。

Tip

如果你对活动中的多个存储库具有写权限,请单击存储库中“活动进度”框中的链接,以显示活动的组织级视图。 在此视图中打开存储库时,会显示活动警报视图。

将 GitHub Copilot Chat用于安全编码

如果你有权访问 Copilot Chat,则可以向 AI 提出有关漏洞的问题并询问建议的修复方案以及如何测试该修复方案是否全面。

Tip

如果仓库的语义代码搜索索引是最新的,则 Copilot 在仓库上下文中回答类似这些自然语言问题的能力将得到优化。 有关详细信息,请参阅“为 Copilot 聊天编制存储库索引”。