발견 된 수단 : Github 보안 캠페인으로 보안 부채를 규모로 줄입니다.
우리는 그것을 얻는다 : 당신은 보안 경고를 쫓는 것보다 운송 기능에 시간을 보내고 싶다. 그렇기 때문에 Coplot Autofix와 같은 도구를 풀 요청에 직접 구축하여 팀이 최대 60% 더 빠르게 보안 문제를 개선 할 수있게하여 수동 수정에 비해 MTTR (Mear Time to Remediation)을 크게 줄일 수 있습니다. AutoFix는 취약점을 생산하기 전에 취약성을 포착하는 데 도움이되므로 버그 수정과 시간 코딩에 더 많은 시간을 소비합니다.
그러나 기존 코드에 이미 숨어있는 취약점은 어떻습니까? 해결되지 않은 모든 보안 결과는 보안 부채에 추가됩니다. 실제로, 우리의 데이터에 따르면 팀은 일반적으로 보안 부채의 10%만을 다루고 있으며 취약성의 90%가 비현실적이고 해결되지 않은 것으로 나타났습니다.
우리의 데이터에 따르면 보안 부채는 고객이 직면 한 가장 큰 손상되지 않은 위험임을 알 수 있습니다. 역사적으로, 합병 된 코드에 남아있는 보안 부채의 10%만이 해결되며, 이는 오늘날까지 위험의 90%가 우선 순위가 지정되지 않았습니다. 이제 우리의 데이터는 보안 캠페인에 포함 된 보안 부채의 55%가 고정되어 있음을 보여줍니다..
보안 캠페인은 보안 전문가와 개발자를 모아 워크 플로우 (Workflow) 내에서 취약성 개선 프로세스를 간소화함으로써 이러한 격차를 해소합니다. Coplot Autofix를 사용하여 한 번에 최대 1,000 개의 코드 스캔 경고에 대한 코드 제안을 생성하는 보안 캠페인은 보안 팀이 심사 및 우선 순위를 처리하는 데 도움이되는 반면, AutoFix를 사용하여 문제를 신속하게 해결할 수 있습니다.
보안 캠페인이 작동합니다
작년 Github Universe에서 공개 미리보기에서 보안 캠페인이 시작되었으므로 보안 여정의 모든 단계에서 조직이 시도해 보았습니다. 그들이 조직 전체의 보안 부채를 줄이거 나 중요한 저장소의 경고를 목표로 삼았는지 여부에 관계없이 보안 캠페인은 보안 부채를 해결하기위한 노력에 개발자와 보안 팀 모두에게 가치를 제공했습니다.
보안 캠페인은 개발자의 삶을 단순화합니다. 그들은 여러 리포지토리에서 알림을 쉽게 그룹화하여 심사에 소요되는 시간과 우선 순위를 줄이면서 Copilot Autofix의 도움으로 가장 중요한 문제를 신속하게 해결할 수 있습니다.
Github 보안 캠페인은 개발 팀의 게임 체인저입니다. 기존 취약점에 대해 교육을 받았으며 엔지니어를 함께 모아 수정 사항을 공동으로 해결했으며 치료 시간을 크게 향상 시켰습니다.
초기 고객의 샘플에서, 우리는 보안 캠페인에 포함 된 경고의 55%가 고정 된 것으로 나타 났으며, 이는 보안 캠페인 외부의 보안 부채의 약 10%에 비해 5.5 배 개선입니다. 이는 캠페인에 알림이 포함되면 보안 팀이 이미 처리 한 경보의 우선 순위가 이미 보안 부채를 고치는 데 더 많은 시간을 할애 할 수 있음을 보여줍니다. 실제로, 우리의 데이터에 따르면 캠페인의 경고는 캠페인 이외의 지역보다 약 2 배나 많은 개발자 참여를 얻는다는 것을 보여줍니다.
보안 캠페인 : 작동 방식
코드베이스에 이미 존재하는 보안 문제를 진압하고 우선 순위를 정하는 것은 정상적인 소프트웨어 개발 수명주기의 일부로 발생해야합니다. 불행히도, 제품 팀이 더 빨리 배송해야한다는 압력을 받으면 보안 경보를 파헤칠 시간이 충분하지 않습니다. 운 좋게도 대부분의 소프트웨어 조직에는 이미 이러한 위험을 이해하는 전문가 인 보안 팀이 있습니다. 보안 캠페인을 통해 우리는 보안 부채 해결을위한 새로운 협력 접근 방식으로 개발자와 보안 팀의 다양한 강점을 선고합니다.
- 보안 팀은 보안 캠페인에서 리포지토리에서 어떤 위험을 해결 해야하는지 우선 순위를 정합니다. 보안 캠페인에는 일반적으로 사용되는 테마 (예 : Miter Top 10 알려진 악용 취약성)를 기반으로 사전 정의 된 템플릿이 제공되어 캠페인 범위를 넓히는 데 도움이됩니다. Github의 보안 개요는 또한 전체 위험 환경을 요약하는 통계 및 지표를 제공합니다.
- 캠페인 알림이 선택되고 타임 라인이 지정되면 캠페인은 캠페인의 영향을받는 모든 개발자에게 전달됩니다. 캠페인에 정의 된 작업은 Github에서 작업하는 개발자에게 가져 오므로 다른 기능 작업과 마찬가지로 계획 및 관리 할 수 있습니다.
- Copilot Autofix는 즉시 캠페인의 모든 경고에 대한 자동 개조를 제안하고 문제를 설명하기위한 사용자 정의 도움말 텍스트를 제안합니다. 경고를 수정하는 것은 Diff를 검토하고 풀 요청을 만드는 것만 큼 쉬워집니다.
결정적으로 보안 캠페인은 경고 목록이 아닙니다. 경고와 함께 캠페인은 개발자가 자신 (또는 팀)이 어떤 경고를 담당하는지 알고 있는지 확인하기 위해 알림을 보완합니다. 개발자와 보안 팀 간의 강력한 협력을 촉진하기 위해 캠페인에는 캠페인 진행 상황을 감독하고 개발자를 지원할 수있는 임명 관리자가 있습니다. 물론 : 보안 관리자는 GitHub에 대한 조직 수준의 견해를 가지고 있으며, 필요에 따라 진행 상황을 추적하고 개발자와 협력합니다.
오늘부터 캠페인 관련 작업을보다 효과적으로 계획하고 관리하기 위해 몇 가지 새로운 기능에 액세스 할 수 있습니다.
- 보안 캠페인 초안 : 보안 관리자는 이제 캠페인의 범위를 반대하여 개발자가 이용할 수 있도록 캠페인을 드래프트 캠페인으로 저장할 수 있습니다. 초안 캠페인을 통해 보안 관리자는 작업이 진행되기 전에 가장 높은 우선 순위 경보가 포함되도록 할 수 있습니다.
- 자동화 된 GitHub 문제 : 보안 관리자는 캠페인에 경고가 포함 된 저장소에서 선택적으로 GitHub 문제를 만들 수 있습니다. 이러한 문제는 캠페인이 진행됨에 따라 자동으로 만들어지고 업데이트되며 팀이 캠페인 관련 작업을 추적, 관리 및 토론하기 위해 팀이 사용할 수 있습니다.
- 조직 수준의 보안 캠페인 통계: 보안 관리자는 이제 현재 활동적이고 과거의 모든 캠페인의 진행 상황을 보여주는 집계 통계를 볼 수 있습니다.
보안 캠페인 사용에 대한 자세한 내용은 GitHub 문서의 보안 캠페인에 대해 참조하십시오.
작성자가 작성했습니다
Post Comment