معالجة المشكلات باستخدام وضع الوكيل في GitHub Copilot

  • 9 دقائق

بعد تحليل مشكلات الأمان باستخدام وكيل السؤال، ستكون جاهزا لتنفيذ الإصلاحات. يتيح لك وكيل GitHub Copilot تنفيذ مهام المعالجة المعقدة بأمان مع ضمان الحفاظ على الوظائف وتحسين جودة الكود.

‏‫ملاحظة‬

فكر في استخدام وكيل Ask لتحليل مشكلات الأمان ووضع خطة إصلاح قبل استخدام الوكيل لتنفيذ التغييرات. يضمن هذا النهج أن إعادة الهيكلة تتم بعناية وأمان.

ما هو وضع الوكيل؟

وضع الوكيل في GitHub Copilot هو واحد من ثلاثة وكلاء مدمجين في GitHub Copilot Chat. على عكس وكيل السؤال، الذي يقدم الإرشادات والاقتراحات في لوحة الدردشة، يقوم وضع الوكيل بتنفيذ التغييرات كتعديلات مباشرة في ملفات الكود الخاصة بك.

تتضمن إمكانات وضع الوكيل ما يلي:

  • تحرير الملفات مع تعديلات دقيقة على الكود.
  • تطبيق التغييرات عبر ملفات متعددة في وقت واحد.
  • إجراء الاختبارات للتحقق من التغييرات.
  • تنفيذ الأوامر بناء على تعليماتك.
  • فهم سياق المشروع والتبعيات.
  • الحفاظ على الاتساق عبر قاعدة الكود.

يعد وضع العامل مثاليا لتنفيذ إصلاحات الأمان متعددة الخطوات التي تتطلب معالجة دقيقة للتبعيات وحالات الحافة والاختبار. يحدد تلقائيا السياق المطلوب وينفذ الخطوات اللازمة لتحقيق أهدافك في المعالجة.

أنواع الوكلاء لمعالجة الأمان

يقدم GitHub Copilot عدة أنواع من الوكلاء تعمل في بيئات مختلفة. بالنسبة لسير عمل إصلاح الأمان، النوعان الأكثر صلة هما:

  • الوكيل المحلي (Agent in VS Code): يعمل بشكل تفاعلي داخل المحرر مع وصول كامل إلى مساحة العمل والأدوات والنماذج الخاصة بك. هذا هو نوع الوكيل الموصوف في هذه الوحدة — مثالي لمعالجة الأمان العملية خطوة بخطوة حيث تراجع كل تغيير.
  • Copilot Cloud Agent: يعمل عن بعد ويتكامل مع طلبات سحب GitHub. يمكنك تعيين مشكلة في GitHub مباشرة إلى وكيل السحابة، الذي يقوم بعد ذلك بالبحث في قاعدة الكود، وإنشاء خطة تنفيذ، وإجراء تغييرات على الشيفرة في فرع لمراجعتك. متوفر مع خطط Copilot Pro+، وخطط الأعمال، وخطط المؤسسات.

بالنسبة لمعظم إصلاحات الأمان، ينصح بالوكيل المحلي لأنه يمنحك رؤية فورية لكل تغيير. الوكيل السحابي مفيد للقضايا المحددة جيدا والأقل خطورة حيث يكون التنفيذ التلقائي مقبولا.

مستويات الأذونات

قبل بدء جلسة الإصلاح، اختر مستوى إذن يتناسب مع تعقيد ومخاطر العمل:

مستوى الأذونات وصف موصى به ل
الموافقات الافتراضية فقط الأدوات الآمنة والقراءة فقط تعمل بدون تأكيد. جميع تعديلات الملفات وأوامر الطرفية تتطلب موافقتك. المعالجة الأمنية الحساسة — أقصى إشراف
الموافقات التحويلية يوافق تلقائيا على جميع استدعاءات الأدوات بدون حوارات تأكيد. الإصلاحات الروتينية التي تثق فيها بالخطة
الطيار الآلي (معاينة) الاستقلالية بالكامل — تعتمد تلقائيا على الأدوات وتستجيب تلقائيا حتى تكتمل المهمة. غير موصى به في التغييرات الأمنية

اختر مستوى الإذن من أداة اختيار الأدنى في عرض الدردشة. لمعالجة الأمان، ينصح باستخدام الموافقات الافتراضية حتى تتمكن من مراجعة كل تعديل في الملف قبل تطبيقه.

معالجة المشكلات الأمنية باستخدام الوكيل

يمكنك استخدام الوكيل لتنفيذ الإصلاحات الأمنية التي تم تحديدها أثناء تحليل وكيل السؤال. يمكن للوكيل تنفيذ عدة خطوات معالجة تلقائيا مع الحفاظ على الوظائف الأصلية وتحسين أمان الكود.

استراتيجيات معالجة المسائل الأمنية

فيما يلي الاستراتيجيات الرئيسية لاستخدام وضع العامل لمعالجة مشكلات الأمان:

  • إصلاح الثغرات الأمنية في الحقن: قم بتوجيه وضع العامل لاستبدال تسلسل السلسلة بالاستعلامات ذات المعلمات أو العبارات المعدة.

  • تنفيذ التشفير الآمن: اجعل الوكيل يطور خوارزميات التجزئة الضعيفة باستخدام بدائل آمنة مثل bcrypt أو Argon2.

  • تنظيف التسجيل: استخدم الوكيل لإزالة البيانات الحساسة من بيانات السجل مع الحفاظ على معلومات تشخيصية مفيدة.

  • التحقق من مسارات الملفات: دع الوكيل يضيف التحقق من صحة المسار الصحيح الذي يمنع هجمات عبور الدليل.

  • إضافة التحقق من صحة المدخلات: اجعل الوكيل ينفذ التحقق الشامل من المدخلات والتنقية.

  • ضمان الأمان: طلب من الوكيل التحقق من صحة أن الإصلاحات تحافظ على جميع فحوصات الأمان الحالية ولا تدخل ثغرات جديدة.

  • الحفاظ على الوظائف: استخدم الوكيل للحفاظ على جميع منطق الأعمال الحالي والتعامل مع الأخطاء مع تحسين الأمان.

تنبيهات الوكيل لمعالجة مشاكل الأمان

عند استخدام الوكيل لمعالجة مشكلات الأمان، يجب أن تكون التعليمات محددة وقابلة للتنفيذ وتشمل اعتبارات السلامة. فيما يلي أمثلة على نص اللغة الطبيعية الذي يمكنك تضمينه في مطالبتك عند معالجة مشكلات الأمان:

التحضير والسلامة

تساعدك هذه المطالبات في وضع تدابير السلامة قبل إجراء تغييرات أمنية على قاعدة التعليمات البرمجية.

  • "قبل إجراء إصلاحات الأمان، قم بإنشاء اختبارات وحدة تتحقق من السلوك الحالي للوظائف المحددة."
  • "قم بتحليل التعليمات البرمجية المحددة للتبعيات والتأكد من أن الإصلاحات تحافظ على جميع الوظائف الحالية."
  • "قم بإنشاء فرع نسخ احتياطي وقم بتشغيل الاختبارات الحالية قبل تنفيذ إصلاحات الأمان على التعليمات البرمجية المحددة."

عمليات المعالجة الأساسية

استخدم هذه المطالبات لمعالجة الثغرات الأمنية الشائعة من خلال إصلاحات مباشرة.

  • "أعد بناء التعليمات البرمجية لاستعلام SQL المحدد لاستخدام الاستعلامات ذات المعلمات بدلا من تسلسل السلسلة."
  • "استبدل تجزئة كلمة مرور MD5 المحددة ب bcrypt بما في ذلك توليد الملح المناسب."
  • "قم بإزالة المعلومات الحساسة من عبارات التسجيل المحددة مع الحفاظ على القيمة التشخيصية."
  • "أضف التحقق من صحة المسار إلى عمليات الملف المحددة لمنع هجمات اجتياز الدليل."

أنماط المعالجة المتقدمة

توجه هذه المطالبات وضع العامل من خلال تحسينات أمنية أكثر تعقيدا تتضمن مكونات متعددة أو تغييرات معمارية.

  • "أعد بناء التعليمات البرمجية لوظيفة المصادقة المحددة لاستخدام المصادقة الآمنة المستندة إلى الرمز المميز مع انتهاء الصلاحية المناسب."
  • "تنفيذ التحقق الشامل من صحة الإدخال لوظائف معالجة بيانات المستخدم المحددة."
  • "استبدل تنفيذ التشفير الضعيف المحدد بتشفير AES-256 باتباع أفضل الممارسات."
  • "أعد بناء التعليمات البرمجية لمعالجة الأخطاء المحددة لتوفير رسائل سهلة الاستخدام أثناء تسجيل الأخطاء التفصيلية بشكل آمن."

الجودة والتحقق من الصحة

استخدم هذه المطالبات للتأكد من أن إصلاحات الأمان تفي بمعايير الجودة ولا تقدم انحطاطا.

  • "بعد تنفيذ إصلاحات الأمان ، قم بتشغيل جميع الاختبارات وتحقق من أن الوظيفة لا تزال متطابقة."
  • "تأكد من أن التعليمات البرمجية الثابتة تتبع إرشادات أمان C # الخاصة ب Microsoft واصطلاحات الترميز."
  • "تحقق من أن إصلاحات الأمان لا تقدم انحدارا في الأداء."
  • "قم بإنشاء اختبارات وحدة تركز على الأمان للتحقق من معالجة الثغرات الأمنية بالكامل."

سير عمل وضع العامل لمعالجة مشكلات الأمان

اتبع سير العمل المنهجي هذا لمعالجة مشكلات الأمان باستخدام وضع العامل:

الخطوة 1: إعداد مساحة العمل الخاصة بك

يضمن البدء بمساحة عمل نظيفة أنه يمكنك تتبع التغييرات بدقة والتراجع إذا لزم الأمر.

تأكد من أنك تعمل في فرع git نظيف مع الالتزام بجميع الأعمال الحالية. انتقل إلى الملف الذي يحتوي على الثغرة الأمنية التي تم تحديدها خلال تحليل وكيل السؤال الخاص بك واجعل خطة المعالجة جاهزة للرجوع إليها.

الخطوة 2: إعداد تدابير السلامة

قم بإنشاء اختبارات أساسية قبل إجراء تغييرات على التعليمات البرمجية الخاصة بك. عند اكتمال تحديثات التعليمات البرمجية، استخدم اختبارات الأساس للتحقق من بقاء الوظيفة سليمة.

قبل إجراء التغييرات، قم بإنشاء اختبارات للتحقق من السلوك الحالي.

مثال على المطالبة: "إنشاء اختبارات وحدة شاملة للوظيفة SearchProducts للتحقق من السلوك الحالي قبل تنفيذ إصلاحات الأمان."

يقوم الوكيل بإنشاء اختبارات تلتقط السلوك الحالي، موفرة أساسا للتحقق.

تلميح

يقوم كود VS تلقائيا بإنشاء نقاط تحقق في نقاط رئيسية خلال جلسات الوكيل. إذا أدى إصلاح الأمان إلى مشاكل غير متوقعة، استخدم نقاط التحقق للعودة إلى حالة جيدة معروفة دون فقدان أعمال أخرى. هذا يكمل استراتيجية فرع الميزات الخاص بك مع خيار التراجع الدقيق والدقيق (redo).

الخطوة 3: البدء بإصلاحات الأمان الهامة

تضمن معالجة الثغرات الأمنية الأكثر خطورة أولا حل المشكلات الأكثر خطورة على الفور.

ابدأ بالثغرات الأمنية ذات الأولوية القصوى.

موجه مثال: "أعد بناء التعليمات البرمجية للطريقة SearchProducts لاستخدام الاستعلامات ذات المعلمات بدلا من تسلسل السلسلة. تأكد من التخلص من جميع متجهات حقن SQL."

يقوم الوكيل بتحليل الكود، واستبدال دمج السلاسل الضعيفة باستعلامات معلمية، وإضافة التحقق من صحة الإدخال للقضاء على ثغرة حقن SQL.

الخطوة 4: تنفيذ التشفير الآمن

تحمي ترقية التشفير الضعيف البيانات الحساسة مثل كلمات المرور من التعرض للاختراق حتى في حالة اختراق التخزين.

استمر في تحسينات التشفير.

مثال على المطالبة: "استبدل تجزئة كلمة مرور MD5 بطريقة HashPassword بتنفيذ bcrypt بما في ذلك توليد الملح المناسب."

يقوم الوكيل بترقية خوارزميات التجزئة الضعيفة لتأمين بدائل مثل bcrypt، ويضيف التحقق من كلمة المرور، وينشئ طريقة تحقق.

الخطوة 5: تعقيم التسجيل ومعالجة الأخطاء

تمنع إزالة المعلومات الحساسة من السجلات التعرض للبيانات مع الحفاظ على إمكانات التشخيص اللازمة لتصحيح الأخطاء.

معالجة مشكلات الإفصاح عن المعلومات.

مثال على المطالبة: "إزالة المعلومات الحساسة من عبارات التسجيل في وحدة المصادقة مع الحفاظ على قيمة التشخيص."

يقوم الوكيل بإزالة البيانات الحساسة من السجلات واستبدال رسائل الخطأ التفصيلية ببدائل سهلة الاستخدام مع الحفاظ على المعلومات التشخيصية في سجلات آمنة.

الخطوة 6: إضافة التحقق من صحة المسار

يمنع التحقق من صحة مسارات الملفات المهاجمين من الوصول إلى الملفات خارج نطاق الدليل المقصود.

تنفيذ أمان مسار الملف.

مثال على المطالبة: "إضافة التحقق الشامل من صحة المسار إلى الطريقة SaveFile لمنع هجمات اجتياز الدليل."

يقوم الوكيل بتنفيذ التحقق من صحة المسار باستخدام Path.GetFileName()، ويتحقق من بقاء المسارات ضمن الأدلة المقصودة، ويضيف فحوصات للحروف غير الصالحة.

الخطوة 7: التحقق من صحة التغييرات

يضمن الاختبار بعد كل إصلاح رئيسي حل الثغرة الأمنية وعدم إدخال أي مشكلات جديدة.

بعد كل إصلاح أمني رئيسي، تحقق من صحة التغييرات.

مثال على المطالبة: "قم بتشغيل جميع اختبارات الوحدة وإنشاء اختبارات خاصة بالأمان للتحقق من إصلاح ثغرة أمنية في حقن SQL بالكامل."

يقوم الوكيل بتشغيل اختبارات موجودة وإنشاء اختبارات أمنية أخرى تحاول تنفيذ هجمات حقن SQL للتحقق من حل الثغرة.

الخطوة 8: المراجعة والتكرار

تضمن معالجة حالات فشل الاختبار وتحسين التطبيقات تلبية جميع المتطلبات قبل النظر في اكتمال المعالجة.

إذا تم العثور على مشكلات، فقم بتوفير تعليمات محددة للتحسينات.

مثال على المطالبة: "فشل اختبار التحقق من صحة طول كلمة المرور. قم بتحديث التحقق من الصحة للسماح بكلمات المرور بين 8 و 128 حرفا.

يقوم الوكيل بتحليل الاختبارات الفاشلة وإجراء التصحيحات اللازمة لضمان استيفاء جميع المتطلبات.

يضمن هذا النهج المنظم إجراء المعالجة بأمان وبشكل منهجي ، مع التحقق من الصحة في كل خطوة.

اعتبارات الأمان والجودة

عند استخدام الوكيل لمعالجة الأمان، يجب دائما مراعاة تداعيات الأمان والجودة:

أفضل ممارسات الأمان

يضمن اتباع ممارسات الأمان هذه أن تكون إصلاحاتك شاملة ولا تقدم ثغرات أمنية جديدة.

ضع في اعتبارك ممارسات الأمان التالية عند معالجة الثغرات الأمنية:

  • التحقق من الصحة بدقة: تأكد من أن جميع عمليات التحقق من صحة الإدخال شاملة وتعالج حالات الحافة.
  • الحفاظ على التفويض: تحقق من أن إصلاحات الأمان لا تتجاوز عمليات التحقق من المصادقة أو التفويض.
  • الحفاظ على الدفاع بعمق: تأكد من بقاء طبقات الأمان المتعددة سليمة.
  • مراجعة التبعيات: تحقق من أن إصلاحات الأمان لا تقدم تبعيات ضعيفة.
  • اختبار على نطاق واسع: قم بتضمين حالات اختبار الأمان الإيجابية والسلبية.

معايير جودة الكود

يضمن الحفاظ على جودة التعليمات البرمجية جنبا إلى جنب مع تحسينات الأمان أن تظل قاعدة التعليمات البرمجية الخاصة بك قابلة للصيانة واحترافية.

حافظ على جودة التعليمات البرمجية العالية باتباع الإرشادات التالية:

  • اتبع الاصطلاحات: تأكد من أن التعليمات البرمجية الثابتة تتبع اصطلاحات ترميز C# من Microsoft.
  • الحفاظ على قابلية القراءة: تحقق من أن إصلاحات الأمان لا تعرض وضوح التعليمات البرمجية للخطر.
  • تغييرات المستند: أضف تعليقات تشرح التعليمات البرمجية الهامة للأمان.
  • تحديث الوثائق: تأكد من أن README وسياسات الأمان ومستندات واجهة برمجة التطبيقات تعكس التغييرات.
  • ضع في اعتبارك الأداء: تحقق من أن تحسينات الأمان لا تؤدي إلى تدهور الأداء بشكل كبير.

إرشادات سلامة وضع الوكيل

العميل قوي لكنه يتطلب رقابة دقيقة.

قبل المعالجة

يقلل اتخاذ هذه الاحتياطات قبل البدء في المعالجة من خطر فقدان العمل أو إدخال تغييرات كثيرة.

  • اعمل دائما في فرع الميزات.
  • تأكد من وجود تغطية شاملة للاختبار.
  • راجع خطة المعالجة من تحليل وكيل الطلب.
  • اضبط مستوى الإذن على الموافقات الافتراضية حتى تراجع كل استدعاء للأداة.
  • فهم الثغرة الأمنية وآثارها المحتملة.
  • قم بعمل نسخة احتياطية من أي بيانات أو تكوينات مهمة.

أثناء المعالجة

يساعدك اتباع هذه الممارسات أثناء المعالجة على اكتشاف المشكلات ومعالجتها عند ظهورها بدلا من اكتشافها لاحقا.

  • قم بإجراء تغييرات تدريجية بدلا من التحولات الكبيرة.
  • تحقق من صحة كل خطوة قبل المتابعة إلى الخطوة التالية.
  • راجع التعليمات البرمجية التي تم إنشاؤها للتأكد من صحتها وأمانها.
  • اختبر بشكل متكرر للقبض على المشكلات مبكرا.
  • راقب الآثار الجانبية غير المقصودة.
  • استخدم نقاط التحقق من تعليمة Visual Studio برمجية للرجوع إلى حالة جيدة معروفة إذا لزم الأمر.

بعد المعالجة

تتحقق خطوات ما بعد المعالجة هذه من اكتمال الإصلاحات وصحتها وجاهزة للنشر.

  • قم بإجراء اختبارات شاملة بما في ذلك اختبارات الأمان.
  • قم بإجراء مراجعة التعليمات البرمجية مع أعضاء الفريق.
  • التحقق من صحة خصائص الأمان باستخدام أدوات الأمان.
  • قم بتحديث مشكلة GitHub بتفاصيل الإصلاح.
  • توثيق الدروس المستفادة للرجوع إليها في المستقبل.

تعامل مع وضع الوكيل كمساعد قوي

بينما يمكن للوكيل أداء مهام معالجة معقدة، إلا أنه يتطلب إشرافا بشريا:

  • راجع جميع التغييرات قبل قبولها.
  • تحقق من معالجة الثغرات الأمنية بالكامل.
  • تأكد من عدم إدخال ثغرات أمنية جديدة.
  • اختبر بدقة للقبض على المشكلات الدقيقة.
  • تحقق من الامتثال لسياسات الأمان.

يسرع الوكيل معالجة الأمان لكنه لا يعوض الحاجة إلى مراجعة واختبار دقيق.

التكامل مع سير عمل Git

دمج تغييرات Agent في سير عمل Git الخاص بك بسلاسة باستخدام أدوات تعليمة Visual Studio برمجية المدمجة.

تنفيذ التغييرات باستخدام طريقة عرض التحكم في المصدر

تعمل طريقة عرض التحكم في المصدر المدمجة في تعليمة Visual Studio برمجية على تبسيط عملية الالتزام بإصلاحات الأمان ودفعها إلى المستودع الخاص بك.

توفر طريقة عرض التحكم في المصدر في تعليمة Visual Studio برمجية طريقة متكاملة لمراجعة إصلاحات الأمان والالتزام بها:

  1. افتح طريقة عرض التحكم في المصدر عن طريق تحديد أيقونة التحكم في المصدر في شريط النشاط أو الضغط على Ctrl+Shift+G.

  2. راجع التغييرات المدرجة ضمن "التغييرات" للتحقق من تضمين جميع إصلاحات الأمان.

  3. قم بتنظيم الملفات عن طريق التمرير فوقها وتحديد الرمز + ، أو تنظيم جميع التغييرات باستخدام الرمز + الموجود بجوار "التغييرات".

  4. أدخل رسالة التزام وصفية في مربع الرسالة التي تشير إلى مشكلة GitHub:

    Fix SQL injection vulnerability in SearchProducts

- Replace string concatenation with parameterized queries
- Add input validation for search terms
- Implement security tests for injection attempts

Fixes #42

    ‏‫ملاحظة‬

    لربط التزاماتك بمشاكل GitHub، أدرج رقم المشكلة في رسالة الالتزام باستخدام بناء جملة الرقم #issue الإصلاح . يغلق بناء الجملة هذا المشكلة تلقائيا عند دمج الالتزام.

  5. حدد الزر الالتزام لتنفيذ التغييرات.

  6. حدد زر مزامنة التغييرات لدفع الفرع إلى المستودع البعيد.

بدلا من ذلك ، يمكنك استخدام أوامر Git في المحطة الطرفية المدمجة:

# Stage all changes
git add .

# Commit with a descriptive message referencing the GitHub issue
git commit -m "Fix SQL injection vulnerability in SearchProducts

- Replace string concatenation with parameterized queries
- Add input validation for search terms
- Implement security tests for injection attempts

Fixes #42"

# Push changes to the remote repository
git push origin your-branch-name

الملخص

يتيح استخدام وضع الوكيل في GitHub Copilot للمطورين معالجة مشكلات الأمان بكفاءة مع الحفاظ على جودة التعليمات البرمجية ووظائفها. من خلال دمج الرؤى التحليلية من وكيل Ask مع قدرات تنفيذ الوكيل، يمكنك معالجة الثغرات في قاعدة الشيفرة الخاصة بك بشكل منهجي. اختر نوع الوكيل المناسب لحالتك — استخدم الوكيل المحلي للمعالجة التفاعلية خطوة بخطوة، أو الوكيل السحابي لتعيين مشكلات محددة جيدا للحل الذاتي. مفتاح النجاح هو تقديم تعليمات واضحة، وتحديد مستويات الإذن المناسبة، والحفاظ على ممارسات السلامة، والتحقق الكامل من جميع التغييرات، وضمان وجود توثيق مناسب. العميل هو مساعد قوي يسرع عملية الإصلاح، لكن الرقابة البشرية تظل ضرورية لضمان أن الإصلاحات الأمنية كاملة وصحيحة ولا تسبب ثغرات جديدة.