نحصل عليه: تفضل قضاء وقتك في الشحن من مطاردة تنبيهات الأمان. لهذا السبب قمنا ببناء أدوات مثل Copilot Autofix مباشرة في طلبات السحب ، تمكين الفرق من معالجة مشكلات الأمان بنسبة تصل إلى 60 ٪ أسرع ، مما يقلل بشكل كبير من الوقت المتوسط للعلاج (MTTR) مقارنة مع الإصلاحات اليدوية. يساعدك Autofix على التقاط نقاط الضعف قبل أن تدخل في الإنتاج ، لذلك تقضي وقتًا أقل في إصلاح الأخطاء والمزيد من الوقت في الترميز.
ولكن ماذا عن نقاط الضعف التي تتربص بالفعل في الكود الحالي؟ يضيف كل اكتشاف أمني لم يتم حله إلى ديونك الأمنية – وهو خطر متزايد لا يمكنك تجاهله. في الواقع ، تُظهر بياناتنا أن الفرق تتناول عادة 10 ٪ فقط من ديونها الأمنية ، تاركة 90 ٪ من نقاط الضعف غير لائقة ولم يتم حلها.
تُظهر بياناتنا أن الديون الأمنية هي أكبر مخاطر غير معالجة يواجهها العملاء: تاريخياً ، يتم معالجة 10 ٪ فقط من الديون الأمنية المستمرة في الكود المدمج ، وهذا يعني حتى اليوم ، لم يتم تحديد الأولوية من 90 ٪ من المخاطر. الآن ، تظهر بياناتنا أن 55 ٪ من الديون الأمنية المدرجة في الحملات الأمنية ثابتة.
تقوم حملات الأمن بتسد هذه الفجوة من خلال الجمع بين خبراء الأمن والمطورين معًا ، مما يؤدي إلى تبسيط عملية معالجة الضعف في سير عملك ، وعلى نطاق واسع. باستخدام Copilot Autofix لإنشاء اقتراحات رمز لما يصل إلى 1000 تنبيهات للمسح الكود في وقت واحد ، تساعد حملات الأمان فرق الأمن على الاهتمام بالفرز وتحديد الأولويات ، بينما يمكنك حل المشكلات بسرعة باستخدام Autofix – مع كسر زخم التطوير الخاص بك.
الحملات الأمنية في العمل
منذ إطلاق الحملات الأمنية في المعاينة العامة في عالم جيثب في العام الماضي ، رأينا منظمات في جميع المراحل المختلفة من رحلتهم الأمنية ، جربها. سواء تم استخدامهم لتقليل الديون الأمنية عبر مؤسسة بأكملها أو لاستهداف التنبيهات في المستودعات الحرجة ، فقد قدمت الحملات الأمنية قيمة لكل من المطورين وفرق الأمن في جهودهم لمعالجة الديون الأمنية.
حملات الأمن تبسيط الحياة لمطورينا. يمكنهم بسهولة تجميع التنبيهات من مستودعات متعددة ، مما يقلل من الوقت الذي يقضيه في الفرز وتحديد الأولويات مع علاج القضايا الأكثر أهمية بسرعة بمساعدة Copilot Autofix.
حملات GitHub Security هي مغير للألعاب لفرق التطوير لدينا. لقد تعليمنا حول نقاط الضعف الحالية ، وجمع مهندسينا معًا للتعاون مع الإصلاحات ، وتحسين وقت علاجنا بشكل كبير.
في عينة من العملاء الأوائل ، وجدنا أن 55 ٪ من التنبيهات المدرجة في الحملات الأمنية تم إصلاحها ، مقارنة بحوالي 10 ٪ فقط من الديون الأمنية خارج حملات الأمن ، وهو تحسن 5.5x. هذا يدل على أنه عندما يتم تضمين التنبيهات في حملة ، يمكنك قضاء المزيد من الوقت في إصلاح ديون الأمن ، حيث تم بالفعل الاعتناء بتنبيهات الأمن التي تنبيهات عليها. في الواقع ، توضح بياناتنا أن التنبيهات في الحملات تحصل على مشاركة المطورين تقريبًا أكثر من تلك الموجودة خارج الحملات.
الحملات الأمنية: كيف يعملون
يجب أن تحدث Triabating وتحديد أولويات مشاكل الأمان الموجودة بالفعل في قاعدة الكود كجزء من دورة حياة تطوير البرمجيات العادية. لسوء الحظ ، عندما تتعرض فرق المنتجات لضغوط للشحن بشكل أسرع ، فغالبًا ما لا يكون لديهم وقت كافٍ للحفر من خلال تنبيهات الأمن الخاصة بهم لتحديد أي منها يجب معالجته أولاً. لحسن الحظ ، في معظم مؤسسات البرمجيات ، هناك بالفعل مجموعة من الأشخاص الذين هم خبراء في فهم هذه المخاطر: فريق الأمن. مع الحملات الأمنية ، نلعب مع نقاط القوة المختلفة للمطورين وفرق الأمن في نهج تعاوني جديد لمعالجة الديون الأمنية.
- تعطي فرق الأمن الأولوية للمخاطر التي يجب معالجتها عبر مستودعاتها في حملة أمنية. تأتي الحملات الأمنية مع قوالب محددة مسبقًا تستند إلى موضوعات شائعة الاستخدام (مثل ميتري أفضل 10 نقاط الضعف المعروفة) للمساعدة في نطاق الحملة. تقدم نظرة عامة على Github أيضًا الإحصاءات والمقاييس التي تلخص المشهد الإجمالي للمخاطر.
- بمجرد اختيار تنبيهات الحملة وتحديد جدول زمني ، يتم توصيل الحملة إلى أي مطورين يتأثرون بالحملة. يتم تقديم العمل المحدد في الحملة إلى المطورين حيث يعملون على Github ، بحيث يمكن التخطيط له وإدارته تمامًا مثل أي عمل ميزة أخرى.
- يبدأ Copilot Autofix على الفور في اقتراح عمليات علاج تلقائية لجميع التنبيهات في الحملة ، بالإضافة إلى نص مخصص لشرح المشكلات. يصبح إصلاح التنبيه سهلاً مثل مراجعة Diff وإنشاء طلب سحب.
من الأهمية بمكان ، أن الحملات الأمنية ليست فقط قوائم التنبيهات. إلى جانب التنبيهات ، يتم استكمال الحملات بإخطارات لضمان أن المطورين يدركون أي تنبيه (أو فريقهم) مسؤولون عنه. لتعزيز التعاون الأقوى بين المطورين وفريق الأمن ، لدى الحملات أيضًا مديرًا مُعينًا للإشراف على تقدم الحملة وتكون على استعداد لمساعدة المطورين. وبالطبع: لدى مديري الأمن وجهة نظر على مستوى المؤسسة على Github لتتبع التقدم والتعاون مع المطورين حسب الحاجة.
ابتداءً من اليوم ، يمكنك أيضًا الوصول إلى العديد من الميزات الجديدة لتخطيط وإدارة العمل المتعلق بالحملات بشكل أكثر فعالية:
- مسودة الحملات الأمنية: يمكن لمديري الأمن الآن التكرار حول نطاق الحملات وإنقاذهم كمسودة حملات قبل إتاحتها للمطورين. من خلال مسودة الحملات ، يمكن لمديري الأمن التأكد من تضمين تنبيهات الأولوية الأعلى قبل أن يسير العمل مباشرة.
- مشكلات github الآلية: يمكن لمديري الأمن اختياريًا إنشاء مشكلات github في المستودعات التي لديها تنبيهات مدرجة في الحملة. يتم إنشاء هذه المشكلات وتحديثها تلقائيًا مع تقدم الحملة ويمكن استخدامها من قبل الفرق لتتبع الأعمال المتعلقة بالحملات وإدارتها ومناقشتها.
- إحصائيات حملة أمنية على مستوى المنظمة: يمكن لمديري الأمن الآن الاطلاع على إحصائيات مجمعة تُظهر التقدم في جميع الحملات النشطة حاليًا والسابقة.
لمزيد من المعلومات حول استخدام الحملات الأمنية ، انظر حول الحملات الأمنية في وثائق جيثب.
كتبه
اترك تعليقاً