GitHub je najavio opštu dostupnost bezbjednosnih kampanja, koje olakšavaju zajednički rad programera i bezbjednosnih timova na ispravljanju ranjivosti u njihovim aplikacijama.
Funkcija bezbjednosnih kampanja predstavljena je kao javni pregled krajem oktobra 2024. godine, a sada je dostupna svim korisnicima GitHub Advanced Security i GitHub Code Security usluga.
GitHub već nudi alate poput CodeQL-a kako bi omogućio programerima da automatizuju otkrivanje ranjivosti u svom kodu, kao i Copilot Autofix, koji im pomaže da otklone uočene propuste.
Međutim, analiza koju je sprovela ova platforma za kodiranje u vlasništvu Microsofta pokazala je da se rješava samo relativno mali procenat otkrivenih problema, dok se ostali gomilaju i povećavaju bezbjednosni dug organizacije.
Bezbjednosne kampanje imaju za cilj da pomognu organizacijama da smanje bezbjednosni dug, a njihova upotreba tokom perioda javnog pregleda pokazala je da je 55% prioritetnog bezbjednosnog duga bilo otklonjeno od strane programera, u poređenju sa samo 10% bez upotrebe kampanja.
Bezbjednosne kampanje dizajnirane su da pojednostave otklanjanje ranjivosti čineći saradnju između bezbjednosnih i razvojnih timova efikasnijom.
Ovaj proces ima tri glavna koraka. Prvo, bezbjednosni timovi određuju koje ranjivosti treba riješiti, a bezbjednosne kampanje nude unaprijed definisane šablone za uobičajene teme (na primjer, najčešće zloupotrebljavane vrste propusta). Biraju se bezbjednosna upozorenja i definiše se vremenski okvir.
Zatim se programeri koje kampanja pogađa obavještavaju, a zadaci vezani za zakrpu ranjivosti integrišu se u njihov radni tok, omogućavajući im da ih planiraju i upravljaju njima kao i svakim drugim zadatkom.
Copilot Autofix predlaže automatska rješenja za sva upozorenja unutar kampanje, kako bi posao programera bio lakši.
„Ono što je ključno — bezbjednosne kampanje nisu samo liste upozorenja. Uz upozorenja, kampanje su praćene i obavještenjima kako bi programeri bili svjesni na koja upozorenja su oni (ili njihov tim) zaduženi da reaguju“, objasnio je GitHub.
„Da bi se podstakla jača saradnja između programera i bezbjednosnog tima, kampanje imaju i imenovanog menadžera koji nadgleda napredak i stoji na raspolaganju za pomoć programerima. Naravno, menadžeri bezbjednosti imaju pregled kampanja na nivou cijele organizacije u okviru GitHub-a, kako bi pratili napredak i sarađivali sa programerima po potrebi“, dodaje se.
Izvor: SecurityWeek
