Sichern Sie Ihre Java-Anwendungen mit der Modernisierung durch GitHub Copilot

Die Modernisierung Ihrer Java Anwendung ist kein einmaliges Ereignis. Neue CVEs werden jeden Tag veröffentlicht, mit der Weiterentwicklung Ihres Codes treten neue CWE-Befunde zutage, und Abhängigkeiten entsprechen nicht mehr den Compliance-Vorgaben. Die Sicherheit der Anwendung zu gewährleisten bedeutet , Sicherheitsschulden kontinuierlich zu erkennen und zu beheben – der immergrüne Weg, um die Anwendungssicherheit zu berücksichtigen.

GitHub Copilot Modernisierung hilft Ihnen bei zwei Funktionen:

  • Sicherheitsbewertung : Überprüft Ihren Code nach CWE-Ergebnissen, die von ISO/IEC 5055 geführt werden , und sucht nach CVE-Sicherheitsrisiken in Ihren direkten und transitiven Abhängigkeiten.
  • Codekorrektur – generiert einen Ausführungsplan zum Beheben der ausgewählten Probleme und wendet die Korrekturen für Sie an.

Sie finden diese Funktionen in:

  • Visual Studio Code – interaktive Überprüfung und Behebung, die in diesem Artikel behandelt wird.
  • Modernisieren von CLI – Sicherheit ist eine der Bewertungsdomänen in der Batchbewertung, sodass Sie ein Portfolio von Anwendungen in einer einzigen Ausführung scannen können.

Überprüfen und Beheben von Sicherheitsproblemen in Visual Studio Code

Führen Sie die folgenden Schritte aus, um Sicherheitsprobleme in einem einzigen Ablauf zu bewerten und zu beheben.

1. Starten der Sicherheitsüberprüfung

Öffnen Sie im GitHub Copilot-Modernisierungsbereich den Bereich Quick Start, und wählen Sie Scan & Beheben von Sicherheitsproblemen.

Screenshot von Visual Studio Code, der die Quick Start-Ansicht mit der Schaltfläche „Sicherheitsprobleme scannen und beheben“ zeigt.

Copilot führt eine Sicherheitsdomänenbewertung über Ihr Projekt aus. Der Scan deckt Folgendes ab:

  • Eine kuratierte Gruppe von CWE-Regeln, die an ISO/IEC 5055 ausgerichtet sind, gruppiert in sechs Kategorien: File & Path Security, Injection Attacks, Memory Safety, Code Quality, Credentials & Secrets und Concurrency & Synchronization.
  • CVE-Erkenntnisse in Ihren direkten und transitiven Abhängigkeiten, aus der GitHub Security Advisories-Datenbank.

Den vollständigen Katalog der CWE-Regeln und die Details der CVE-Abdeckung finden Sie unter Grundlegendes zur Bewertungsabdeckung.

Hinweis

CVE-Überprüfungen funktionieren ohne GitHub Authentifizierung, anonyme Anrufe sind jedoch mit der Rate begrenzt. Melden Sie sich mit gh auth login an, um bei großen Projekten eine Drosselung zu vermeiden.

2. Überprüfen des Berichts

Nach Abschluss der Überprüfung wird der Bewertungsbericht mit den Sicherheitsergebnissen geöffnet.

Screenshot des Bewertungsberichts in Visual Studio Code mit den CWE- und CVE-Ergebnissen.

Um zu steuern, welche CVEs-Oberfläche angezeigt wird, legen Sie "Sicherheit: Minimaler CVE-Schweregrad " in der Bewertungskonfiguration fest. Zulässige Werte sind critical, high, medium und low; der Standardwert ist high.

3. Wählen Sie die Zu behebenden Probleme aus, und erstellen Sie einen Plan.

Wählen Sie die Problemkategorien aus, die Sie beheben möchten. Die Interaktive Schaltfläche wird aktualisiert, um die Anzahl anzuzeigen, z. B. "Plan erstellen (3)". Wählen Sie ihn aus, um einen Ausführungsplan zu generieren.

Screenshot des Bewertungsberichts mit ausgewählten Sicherheitsproblemkategorien und hervorgehobener Schaltfläche

4. Überprüfen Des Plans

Copilot schreibt den Ausführungsplan als Markdown-Datei und öffnet ihn im Vorschaubereich, damit Sie ihn lesen können, bevor eine Korrektur angewendet wird. Im Plan wird beschrieben, wie Copilot Gruppen gruppiert und die ausgewählten Probleme behandelt. Es gruppiert CVE-Befunde nach Abhängigkeit und CWE-Befunde nach Datei. Wenn Sie den Bereich oder die Reihenfolge ändern möchten, bearbeiten Sie die Markdown-Datei direkt.

Screenshot des Sicherheitsausführungsplans, geöffnet in der Markdown-Vorschau von Visual Studio Code.

5. Ausführen des Plans

Wenn Sie mit dem Plan zufrieden sind, teilen Sie Copilot im Chat mit, ihn auszuführen. Copilot die ausgewählte Problemgruppe nach Gruppe löst, erstellt das Projekt, um jede Änderung zu überprüfen, und meldet den Fortschritt im Chat. Überprüfen Sie die resultierenden Diffs, und übernehmen Sie die Änderungen, die Sie behalten möchten.

Immergrün bleiben

Sicherheitstechnische Schulden treten erneut auf, wenn neue CVEs veröffentlicht werden und sich Ihre Anwendung ändert. Führen Sie Sicherheitsprobleme scannen und beheben im Rahmen Ihres regelmäßigen Modernisierungszyklus erneut aus – zum Beispiel bei jedem Release-Branch –, damit Sie Probleme kontinuierlich erkennen und beheben, anstatt sie bis zu einem großen Upgrade anzusammeln.

Nächste Schritte

  • Last updated on