Segurança digital

Campanhas de segurança no GitHub: Copilot Autofix ajuda a corrigir vulnerabilidades críticas

Interface completa do GitHub para campanhas de segurança de injeção de SQL (CWE-89). A tela mostra o progresso da campanha, os detalhes dos alertas críticos detectados por ferramentas como CodeQL e MyTool, e uma lista de vulnerabilidades abertas e fechadas com informações específicas sobre a localização e a gravidade de cada alerta.

O GitHub lançou o preview público das campanhas de segurança do Copilot Autofix, uma ferramenta avançada para usuários do GitHub Advanced Security. Este recurso tem como foco a redução de vulnerabilidades acumuladas em aplicações ao longo do tempo. Através do Copilot Autofix, os desenvolvedores agora contam com explicações detalhadas e sugestões de correções para até 1.000 alertas de segurança simultaneamente. Essa capacidade permite uma abordagem rápida e eficaz na resolução de problemas críticos, colaborando para que os times de desenvolvimento e segurança possam agir com confiança.

Para identificar e priorizar vulnerabilidades, o GitHub utiliza ferramentas de escaneamento, como o CodeQL, que automaticamente alertam os desenvolvedores sobre potenciais riscos em seu código. No entanto, quando essas notificações não são resolvidas em tempo hábil, a dívida de segurança pode aumentar, resultando em riscos sérios para sistemas em produção.

Como funciona a campanha de segurança

As campanhas de segurança permitem ao time de segurança definir prioridades e prazos para a resolução de alertas. Ao iniciar uma campanha, o Copilot Autofix gera correções automáticas para os alertas compatíveis, notificando os desenvolvedores familiarizados com o código específico. Estes, então, revisam as correções e, quando aprovadas, realizam os ajustes necessários através de pull requests. Esse processo não só acelera a eliminação das vulnerabilidades, como também contribui para uma melhor organização das demandas de segurança.

Além disso, o Copilot Autofix possibilita o monitoramento do progresso das campanhas em tempo real, permitindo que os times de segurança acompanhem o total de correções realizadas. Essa colaboração entre desenvolvimento e segurança fortalece a resposta às ameaças, concentrando-se nos alertas prioritários e otimizando os esforços de proteção.

Suporte a ferramentas de parceiros

O Copilot Autofix também está expandindo seu alcance com a integração de ferramentas de escaneamento de parceiros. Atualmente, a primeira integração é com o ESLint, uma popular ferramenta de análise de código para JavaScript. Isso significa que problemas detectados pelo ESLint agora recebem sugestões de correção diretamente no GitHub, seja em pull requests ou alertas de segurança. A configuração é simples: basta habilitar o ESLint no repositório desejado e iniciar o fluxo de trabalho através do GitHub Actions.

Além do ESLint, o GitHub anunciou que o Copilot Autofix em breve suportará outras ferramentas, como JFrog SAST e Black Duck, da Polaris Coverity®. Os usuários poderão configurar essas integrações e também desativá-las nas configurações de escaneamento de código, oferecendo flexibilidade e controle sobre o processo de segurança.

Disponibilidade e feedback

As campanhas de segurança do Copilot Autofix estão disponíveis exclusivamente para usuários do GitHub Advanced Security no GitHub Enterprise Cloud. Para mais informações, acesse a documentação oficial do GitHub. A participação na comunidade do GitHub também está aberta para receber feedbacks sobre o recurso, promovendo um desenvolvimento contínuo e alinhado às necessidades dos usuários.

O lançamento do Copilot Autofix com suporte a parceiros e funcionalidades avançadas de segurança representa um avanço importante no gerenciamento de riscos e na segurança de aplicações. Esse recurso contribui significativamente para o fortalecimento das práticas de segurança em equipes de desenvolvimento, tornando o ambiente de programação mais seguro e confiável.

Para aproveitar ao máximo o Copilot Autofix e proteger suas aplicações, explore a documentação e participe da comunidade do GitHub para compartilhar suas experiências.