Proteja seus aplicativos Java com a modernização com o GitHub Copilot

Modernizar seu aplicativo Java não é um evento único. Novos CVEs são publicados todos os dias, novas ocorrências de CWE surgem à medida que seu código evolui, e as dependências ficam fora de conformidade com o tempo. Manter a aplicação segura significa detectar e corrigir continuamente a dívida técnica de segurança — uma abordagem contínua para pensar a segurança de aplicações.

A modernização com o GitHub Copilot oferece dois recursos:

  • Avaliação de segurança - analisa seu código em busca de descobertas de CWE com base na ISO/IEC 5055 e de vulnerabilidades CVE em suas dependências diretas e transitivas.
  • Correção de código – gera um plano de execução para corrigir os problemas selecionados e aplica as correções para você.

Você pode encontrar esses recursos em:

  • Visual Studio Code – verificação e correção interativas, abordadas neste artigo.
  • Modernizar a CLI – a segurança é um dos domínios de avaliação na avaliação em lotes, para que você possa verificar um portfólio de aplicativos em uma única execução.

Verificar e resolver problemas de segurança no Visual Studio Code

Siga estas etapas para avaliar e corrigir problemas de segurança em um único fluxo.

1. Iniciar a verificação de segurança

No painel Modernização do GitHub Copilot, abra o modo de exibição Início Rápido e selecione Verificar e resolver problemas de segurança.

Captura de tela do Visual Studio Code que mostra a exibição Início Rápido com o botão Verificar e Resolver Problemas de Segurança.

Copilot executa uma avaliação de domínio de segurança em seu projeto. A verificação abrange:

  • Um conjunto selecionado de regras CWE alinhadas à ISO/IEC 5055, agrupado em seis categorias: Segurança de Arquivos & Caminhos, Ataques de Injeção, Segurança da Memória, Qualidade do Código, Credenciais & Segredos, e Concorrência & Sincronização.
  • Descobertas de CVE em suas dependências diretas e transitivas, provenientes do banco de dados GitHub Security Advisories.

Para obter o catálogo completo de regras CWE e os detalhes da cobertura CVE, consulte Noções básicas sobre a cobertura da avaliação.

Note

As verificações de CVE funcionam sem autenticação do GitHub, mas as chamadas anônimas estão sujeitas a limite de taxa. Para projetos grandes, faça login com gh auth login para evitar limitação de taxa.

2. Examine o relatório

Quando a verificação for concluída, o Relatório de Avaliação será aberto com as conclusões de segurança.

Screenshot do Relatório de Avaliação em Visual Studio Code que mostra as descobertas CWE e CVE.

Para controlar quais CVEs são exibidas, defina Segurança: Severidade mínima da CVE na configuração da avaliação. Os valores aceitos são critical, highe mediumlow; o padrão é high.

3. Escolha os problemas para corrigir e criar um plano

Selecione as categorias de problema que você deseja corrigir. O botão de ação é atualizado para mostrar a contagem , por exemplo, Criar Plano (3). Selecione-o para gerar um plano de execução.

Captura de tela do Relatório de Avaliação com as categorias de problema de segurança selecionadas e o botão Criar Plano realçado.

4. Examinar o plano

Copilot grava o plano de execução como um arquivo Markdown e o abre no painel de visualização para que você possa lê-lo antes que qualquer correção seja aplicada. O plano descreve como o Copilot agrupa e aborda os problemas selecionados. Ele agrupa problemas de CVE por dependência e descobertas de CWE por arquivo. Se você quiser alterar o escopo ou a ordem, edite o arquivo Markdown diretamente.

Captura de tela do plano de execução de segurança aberto na visualização Markdown do Visual Studio Code.

5. Executar o plano

Quando estiver satisfeito com o plano, diga ao Copilot no chat para executá-lo. Copilot resolve os problemas selecionados grupo por grupo, cria o projeto para validar cada alteração e relata o progresso no chat. Examine as diferenças resultantes e confirme as alterações que você deseja manter.

Mantenha-se sempre verde

A dívida de segurança reaparece à medida que novos CVEs são publicados e à medida que seu aplicativo muda. Execute novamente Verificar e Resolver Problemas de Segurança como parte de sua cadência regular de modernização — por exemplo, em cada ramificação de release — para detectar e corrigir problemas continuamente, em vez de acumulá-los para uma grande atualização.

Próximas Etapas 

  • Last updated on