Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Memodernisasi aplikasi Java Anda bukanlah peristiwa satu kali. CVE baru diterbitkan setiap hari, temuan CWE baru muncul seiring perkembangan kode Anda, dan dependensi tidak lagi mematuhi persyaratan kepatuhan. Menjaga aplikasi tetap aman berarti terus-menerus mendeteksi dan memperbaiki utang keamanan—pendekatan yang selalu relevan dalam memikirkan keamanan aplikasi.
modernisasi GitHub Copilot membantu Anda dengan dua kemampuan:
- Penilaian keamanan - memindai kode Anda untuk temuan CWE yang dipandu oleh ISO/IEC 5055 dan untuk kerentanan CVE dalam dependensi langsung dan transitif Anda.
- Remediasi kode - menghasilkan rencana eksekusi untuk memperbaiki masalah yang dipilih dan menerapkan perbaikan untuk Anda.
Anda dapat menemukan kemampuan ini di:
- Visual Studio Code - pemindaian dan perbaikan interaktif, yang tercakup dalam artikel ini.
- Modernisasi CLI - keamanan adalah salah satu domain penilaian dalam penilaian batch, sehingga Anda dapat memindai portofolio aplikasi dalam satu proses.
Memindai dan mengatasi masalah keamanan di Visual Studio Code
Ikuti langkah-langkah ini untuk menilai dan memulihkan masalah keamanan dalam satu alur.
1. Mulai pemindaian keamanan
Di panel modernisasi GitHub Copilot, buka tampilan Quick Start dan pilih Pindai & Atasi Masalah Keamanan.
Copilot menjalankan penilaian domain keamanan atas proyek Anda. Pemindaian mencakup:
- Serangkaian aturan CWE yang dikumpulkan selaras dengan ISO/IEC 5055, dikelompokkan ke dalam enam kategori: Keamanan File & Jalur, Serangan Injeksi, Keamanan Memori, Kualitas Kode, Kredensial & Rahasia, dan Konkurensi & Sinkronisasi.
- Temuan CVE pada dependensi langsung dan transitif Anda, yang bersumber dari basis data GitHub Security Advisories.
Untuk katalog lengkap aturan CWE dan detail cakupan CVE, lihat Memahami cakupan penilaian.
Note
Pemeriksaan CVE berfungsi tanpa autentikasi GitHub, tetapi permintaan anonim dibatasi jumlahnya. Untuk proyek besar, login menggunakan gh auth login untuk menghindari pembatasan.
2. Tinjau laporan
Setelah pemindaian selesai, Laporan Penilaian terbuka dengan temuan keamanan.
Untuk mengontrol permukaan CVE mana, atur Keamanan: Tingkat Keparahan CVE Minimum dalam konfigurasi penilaian. Nilai yang diterima adalah critical, , highmedium, dan low; defaultnya adalah high.
3. Pilih masalah yang akan diperbaiki dan buat rencana
Pilih kategori masalah yang ingin Anda perbaiki. Tombol tindakan diperbarui untuk menampilkan jumlah — misalnya, Buat Rencana (3). Pilihnya untuk membuat rencana eksekusi.
4. Tinjau rencana
Copilot menulis rencana eksekusi sebagai file Markdown dan membukanya di panel pratinjau sehingga Anda dapat membacanya sebelum perbaikan diterapkan. Rencana ini menjelaskan bagaimana Copilot mengelompokkan dan menangani masalah yang dipilih. Ini mengelompokkan masalah CVE berdasarkan dependensi dan temuan CWE berdasarkan file. Jika Anda ingin mengubah cakupan atau urutan, edit file Markdown secara langsung.
5. Jalankan rencana
Ketika Anda puas dengan rencana, beri tahu Copilot dalam obrolan untuk mengeksekusinya. Copilot menyelesaikan masalah yang dipilih grup menurut grup, membangun proyek untuk memvalidasi setiap perubahan, dan melaporkan kemajuan dalam obrolan. Tinjau perbedaan yang dihasilkan dan terapkan perubahan yang ingin Anda simpan.
Tetap hijau
Utang keamanan muncul kembali ketika CVE baru diterbitkan dan ketika aplikasi Anda mengalami perubahan. Jalankan kembali Pemindaian & Atasi Masalah Keamanan sebagai bagian dari siklus modernisasi rutin Anda - misalnya, pada setiap cabang rilis - agar Anda dapat menemukan dan memperbaiki masalah secara terus-menerus, alih-alih menumpuknya menjadi upgrade besar.
Langkah berikutnya
- Pahami cakupan penilaian - katalog lengkap aturan CWE dan detail cakupan CVE.
- Bekerja dengan penilaian
- Penilaian batch dengan agen modernisasi GitHub Copilot