Sécuriser vos applications Java avec GitHub Copilot modernisation

La modernisation de votre application Java n'est pas un événement unique. De nouvelles CVE sont publiées chaque jour, de nouvelles faiblesses CWE apparaissent à mesure que votre code évolue, et les dépendances ne sont plus conformes. Maintenir la sécurité de l’application signifie détecter et résoudre en permanence la dette de sécurité - la façon persistante de réfléchir à la sécurité des applications.

La modernisation avec GitHub Copilot vous offre deux capacités :

  • Évaluation de la sécurité : analyse votre code pour rechercher les résultats de la CWE guidés par ISO/IEC 5055 et pour détecter les vulnérabilités CVE dans vos dépendances directes et transitives.
  • Correction du code : génère un plan d’exécution pour résoudre les problèmes sélectionnés et applique les correctifs pour vous.

Vous trouverez ces fonctionnalités dans :

  • Visual Studio Code - analyse interactive et correctif, abordés dans cet article.
  • Moderniser l’interface CLI : la sécurité est l’un des domaines d’évaluation dans l’évaluation par lots. Vous pouvez donc analyser un portefeuille d’applications en une seule exécution.

Analyser et résoudre les problèmes de sécurité dans Visual Studio Code

Suivez ces étapes pour évaluer et corriger les problèmes de sécurité dans un flux.

1. Démarrer l’analyse de sécurité

Dans le volet GitHub Copilot modernisation, ouvrez l’affichage Quick Start et sélectionnez Scan & Résolvez les problèmes de sécurité.

Screenshot de Visual Studio Code qui affiche l’affichage Démarrage rapide avec le bouton Analyser et résoudre les problèmes de sécurité.

Copilot exécute une évaluation de domaine de sécurité sur votre projet. L’analyse couvre :

  • Un ensemble sélectionné de règles CWE alignées sur l’ISO/IEC 5055, regroupées en six catégories : Sécurité des fichiers et des chemins d’accès, Attaques par injection, Sûreté de la mémoire, Qualité du code, Identifiants et secrets et Concurrence et synchronisation.
  • résultats relatifs aux CVE dans vos dépendances directes et transitives, issus de la base de données GitHub Security Advisories.

Pour obtenir le catalogue complet des règles CWE et les détails de la couverture CVE, consultez Comprendre la couverture de l’évaluation.

Note

Les vérifications CVE fonctionnent sans authentification GitHub, mais les appels anonymes sont limités au débit. Pour les grands projets, connectez-vous avec gh auth login pour éviter la limitation du débit.

2. Passer en revue le rapport

Une fois l’analyse terminée, le rapport d’évaluation s’ouvre avec les résultats de sécurité.

Screenshot du rapport d’évaluation dans Visual Studio Code qui montre les résultats CWE et CVE.

Pour contrôler les CVE qui s’affichent, définissez Sécurité : gravité minimale des CVE dans la configuration d’évaluation. Les valeurs acceptées sont critical, , highmediumet low; la valeur par défaut est high.

3. Choisissez les problèmes à résoudre et créez un plan

Sélectionnez les catégories de problèmes que vous souhaitez corriger. Le bouton d’action est mis à jour pour afficher le nombre ( par exemple , Créer un plan (3) . Sélectionnez-la pour générer un plan d’exécution.

Capture d’écran du rapport d’évaluation avec les catégories de problèmes de sécurité sélectionnées et le bouton Créer un plan mis en surbrillance.

4. Passer en revue le plan

Copilot écrit le plan d’exécution en tant que fichier Markdown et l’ouvre dans le volet d’aperçu afin de pouvoir le lire avant l’application d’un correctif. Le plan décrit comment Copilot regroupe et traite les problèmes sélectionnés. Il regroupe les problèmes CVE par dépendance et les résultats CWE par fichier. Si vous souhaitez modifier l’étendue ou l’ordre, modifiez directement le fichier Markdown.

Screenshot du plan d’exécution de la sécurité ouvert dans la version préliminaire Visual Studio Code Markdown.

5. Exécuter le plan

Lorsque vous êtes satisfait du plan, dites à Copilot dans le chat de l’exécuter. Copilot résout le groupe de problèmes sélectionné par groupe, génère le projet pour valider chaque modification et signale la progression de la conversation. Passez en revue les différences résultantes et validez les modifications que vous souhaitez conserver.

Restez pérenne

La dette de sécurité réapparaît à mesure que de nouvelles CVE sont publiées et que votre application évolue. Réexécutez l’analyse et résolvez les problèmes de sécurité dans le cadre de votre cadence de modernisation régulière ( par exemple, sur chaque branche de mise en production) afin que vous interceptiez et corrigez les problèmes en continu au lieu de les accumuler dans une mise à niveau importante.

Étapes suivantes

  • Last updated on