A Java alkalmazások védelme GitHub Copilot modernizálással

A Java alkalmazás modernizálása nem egyszeri esemény. Nap mint nap új CVE-k jelennek meg, a kód fejlődésével új CWE-hez kapcsolódó megállapítások kerülnek felszínre, és a függőségek idővel elveszítik megfelelőségüket. Az alkalmazás biztonságának megőrzése azt jelenti, hogy folyamatosan feltárjuk és kezeljük a biztonsági adósságot – ez az alkalmazásbiztonságról való gondolkodás időtálló megközelítése.

GitHub Copilot modernizálás két funkcióval segíti:

  • Biztonsági értékelés – átvizsgálja a kódot az ISO/IEC 5055 alapján azonosított CWE-megállapítások, valamint a közvetlen és tranzitív függőségekben található CVE-sérülékenységek szempontjából.
  • Kódjavítás – létrehoz egy végrehajtási tervet a kiválasztott problémák megoldásához, és alkalmazza a javításokat.

Ezeket a képességeket az alábbiakban találja:

  • Visual Studio Code – interaktív vizsgálat és javítás, amely ebben a cikkben található.
  • A parancssori felület modernizálása – a biztonság a kötegelt értékelés egyik értékelési tartománya, így egyetlen futtatás alatt is vizsgálhatja az alkalmazásportfóliót.

Biztonsági problémák vizsgálata és megoldása a Visual Studio Code

Az alábbi lépéseket követve értékelheti és orvosolhatja a biztonsági problémákat egy folyamatban.

1. A biztonsági vizsgálat indítása

A GitHub Copilot modernizálás panelen nyissa meg a Quick Start nézetet, és válassza a Biztonsági problémák vizsgálata és elhárítása lehetőséget.

A biztonsági problémák vizsgálata és megoldása gomb gyorsindítási nézetét megjelenítő Visual Studio Code képernyőképe.

Copilot biztonsági tartomány felmérését futtatja a projekten. A vizsgálat a következőket fedi le:

  • Az ISO/IEC 5055 szabványhoz igazított CWE-szabályok válogatott készlete, amely hat kategóriába sorolható: File &Path Security, Injection Attacks, Memory Safety, Code Quality, Credentials &Secrets és Concurrency &Szinkronizálás.
  • CVE-megállapítások az Ön közvetlen és tranzitív függőségeiben, a GitHub biztonsági figyelmeztetések adatbázisából.

A CWE-szabályok teljes katalógusáért és a CVE-lefedettség részleteiért lásd: Az értékelési lefedettség ismertetése.

Megjegyzés:

A CVE-ellenőrzések GitHub hitelesítés nélkül működnek, a névtelen hívások azonban korlátozottak. Nagy projektek esetén a korlátozás elkerülése érdekében jelentkezzen be a(z) gh auth login használatával.

2. A jelentés áttekintése

Amikor a vizsgálat befejeződött, megnyílik az Értékelési jelentés a biztonsági megállapításokkal.

A Visual Studio Code Értékelési jelentésének képernyőképe, amely a CWE- és CVE-megállapításokat mutatja.

A megjelenő CVE-k szabályozásához állítsa be a Biztonság: Minimális CVE-súlyosság beállítást az értékelési konfigurációban. Az elfogadott értékek a következőkcritical: , highmediumés low; az alapértelmezett értékhigh.

3. Válassza ki a kijavítandó problémákat, és hozzon létre egy tervet

Válassza ki a kijavítani kívánt problémakategóriákat. A művelet gomb frissül a darabszám megjelenítéséhez – például terv létrehozása (3). Válassza ki azt a végrehajtási terv létrehozásához.

Képernyőkép az Értékelési jelentésről, amelyen a biztonsági problémák kategóriái ki van jelölve, és a Terv létrehozása gomb ki van emelve.

4. A terv áttekintése

Copilot a végrehajtási tervet Markdown-fájlként írja, és megnyitja az előnézeti panelen, hogy a javítás alkalmazása előtt elolvashassa. A terv azt ismerteti, hogy Copilot hogyan csoportosítja és kezeli a kijelölt problémákat. A CVE-problémákat függőségek és CWE-eredmények alapján csoportosítja fájlonként. Ha módosítani szeretné a hatókört vagy a sorrendet, szerkessze közvetlenül a Markdown-fájlt.

A Visual Studio Code Markdown-előnézetében megnyitott biztonsági végrehajtási terv képernyőképe.

5. A terv végrehajtása

Ha elégedett a tervvel, kérje meg Copilot a csevegésben, hogy hajtsa végre. Copilot csoportonként oldja meg a kijelölt problémákat, létrehozza a projektet az egyes módosítások ellenőrzéséhez, és jelentést készít a csevegés előrehaladásáról. Tekintse át az eredményként kapott diffeket, és véglegesítse a megtartani kívánt módosításokat.

Maradjon örökzöld

A biztonsági adósságok az új CVE-k közzétételekor és az alkalmazás változásakor újra megjelennek. Futtassa újra a vizsgálat és a biztonsági problémák megoldását a rendszeres modernizációs ütem részeként – például minden kiadási ágon –, hogy a problémákat folyamatosan elkapja és kijavítsa ahelyett, hogy nagy frissítésbe gyűjti őket.

Következő lépések

  • Last updated on