Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Java uygulamanızı modernleştirmek tek seferlik bir olay değildir. Yeni CVE'ler her gün yayımlanır, kodunuz geliştikçe yeni CWE bulguları ortaya çıkar ve bağımlılıklar uyumsuzluğa sürüklenir. Uygulamayı güvenli tutmak, güvenlik borcunu sürekli olarak tespit edip gidermek anlamına gelir - uygulama güvenliğine yaklaşmanın güncelliğini koruyan yolu budur.
GitHub Copilot modernleştirme iki özellikte size yardımcı olur:
- Güvenlik değerlendirmesi - ISO/IEC 5055 tarafından yönlendirilen CWE bulguları ve doğrudan ve geçişli bağımlılıklarınızdaki CVE güvenlik açıkları için kodunuzu tarar.
- Kod düzeltme - Seçilen sorunları düzeltmek için bir yürütme planı oluşturur ve düzeltmeleri sizin için uygular.
Bu özellikleri şunlarda bulabilirsiniz:
- Visual Studio Code - Bu makalede ele alınan etkileşimli tarama ve düzeltme.
- CLI'yi modernleştirin : Güvenlik, toplu değerlendirmedeki değerlendirme etki alanlarından biridir, böylece tek bir çalıştırmada uygulama portföyünü tarayabilirsiniz.
Visual Studio Code'da güvenlik sorunlarını tarama ve çözme
Bir akıştaki güvenlik sorunlarını değerlendirmek ve düzeltmek için bu adımları izleyin.
1. Güvenlik taramasını başlatın
Copilot projeniz üzerinde bir güvenlik etki alanı değerlendirmesi çalıştırır. Tarama aşağıdakileri kapsar:
- ISO/IEC 5055 ile uyumlu, altı kategoriye ayrılmış, seçilmiş bir CWE kuralları kümesi: Dosya ve Yol Güvenliği, Ekleme Saldırıları, Bellek Güvenliği, Kod Kalitesi, Kimlik Bilgileri ve Gizli Diziler ve Eşzamanlılık ve Eşitleme.
- direct ve transitive bağımlılıklarınızdaki CVE bulgularıGitHub Güvenlik Önerileri veritabanından alınır.
CWE kurallarının tam kataloğu ve CVE kapsamının ayrıntıları için bkz. Değerlendirme kapsamını anlama.
Uyarı
CVE kontrolleri, GitHub kimlik doğrulaması olmadan çalışır, ancak anonim çağrılar oran sınırına tabidir. Büyük projelerde, hız kısıtlamasını önlemek için gh auth login ile oturum açın.
2. Raporu gözden geçirin
Tarama tamamlandığında Değerlendirme Raporu güvenlik bulgularıyla birlikte açılır.
Hangi CVEs yüzeyini denetlemek için değerlendirme yapılandırmasında Güvenlik: Minimum CVE Önem Derecesi'ni ayarlayın. Kabul edilen değerler critical, high, mediumve low; varsayılan değerdir high.
3. Düzeltmek ve plan oluşturmak için sorunları seçin
Düzeltmek istediğiniz sorun kategorilerini seçin. Eylem düğmesi, sayıyı gösterecek şekilde güncelleştirilir; örneğin, Plan Oluştur (3). Yürütme planı oluşturmak için bunu seçin.
4. Planı gözden geçirin
Copilot yürütme planını Markdown dosyası olarak yazar ve herhangi bir düzeltme uygulanmadan önce okuyabilmeniz için önizleme bölmesinde açar. Planda, Copilot seçilen sorunları nasıl gruplandırdığı ve giderdiği açıklanır. CVE sorunlarını bağımlılık ve CWE bulgularına göre dosyaya göre gruplar. Kapsamı veya sırayı değiştirmek istiyorsanız, Markdown dosyasını doğrudan düzenleyin.
5. Planı yürüt
Plandan memnun kaldığınızda, sohbette Copilot'a bunu yürütmesini söyleyin. Copilot seçilen sorunları gruplar halinde çözer, her değişikliği doğrulamak için projeyi oluşturur ve sohbetteki ilerleme durumunu raporlar. Ortaya çıkan farkları gözden geçirin ve korumak istediğiniz değişiklikleri commit edin.
Güncel kalın
Yeni CVE'ler yayımlandıkça ve uygulamanız değiştikçe güvenlik borcu yeniden görünür. Düzenli modernizasyon döngünüzün bir parçası olarak — örneğin, her sürüm dalında — Güvenlik Sorunlarını Tara ve Çöz işlemini yeniden çalıştırın; böylece sorunları büyük bir yükseltmede biriktirmek yerine sürekli olarak tespit edip düzeltebilirsiniz.
Sonraki Adımlar
- Değerlendirme kapsamını anlama - CWE kurallarının ve CVE kapsamı ayrıntılarının tam kataloğu.
- Değerlendirme ile çalışmak
- GitHub Copilot modernizasyon aracısı ile toplu değerlendirme