セキュリティ キャンペーンでのアラートの修正

セキュリティ キャンペーンでのアラートの表示

キャンペーンのターゲットが、書き込みアクセス権限を持つリポジトリ内のセキュリティ アラートである場合は、そのキャンペーン内のリポジトリ アラートの一覧に移動できます。

• リポジトリの [Security] タブを表示し、サイドバーの [Campaigns] の下にあるキャンペーンの 1 つをクリックします。
• Organization の複数のリポジトリへの書き込みアクセス権限がある場合は、organization の [Security] タブを表示し、サイドバーの [Campaigns] の下にあるキャンペーンの 1 つをクリックします。
• または、キャンペーンのメール通知で [View security campaign] をクリックします。

このビューには、キャンペーンの現在のリポジトリのアラートが表示されます。これは "SQL injection (CWE-89)" (灰色で強調表示) と呼ばれ、"octocat" (濃いオレンジ色の枠で囲まれている) によって管理されています。

セキュリティ キャンペーンでのアラートの修正

セキュリティ アラートをトリガーしたコードと修正候補を表示する場合は、アラート名をクリックしてアラート ビューを表示します。

1. 1 つ以上のセキュリティ アラートに取り組む準備ができたら、既にそれらのアラートの作業を行っている人が他にいないことを確認します。 キャンペーン ビューでは、修正が既に進行中である可能性があるアラートに Git アイコンが表示されます。 アイコンをクリックすると、リンクされた作業が表示されます。

   • 開いているドラフトの pull request でこのアラートを修正できます。
   • オープンしている pull request によってこのアラートを修正できます。
   • ブランチにこのアラートを修正するための変更が含まれることがあります。

2. リポジトリのキャンペーン ビューで、修正しようとするアラートを選択します。

3. セキュリティ アラートを作業ブランチに接続します。

   • 選択したアラートに対して少なくとも 1 つの "自動修正" 候補がある場合、[Commit autofix] をクリックし、変更を新しいブランチまたは既存のブランチにコミットします。
   • 選択したアラートに対して自動修正候補がない場合は、[Create new branch] をクリックして新しいブランチを作成し、そこでアラートの修正に取り組みます。

4. アラートの修正とソリューションのテストが完了したら、変更の pull request を作成して、キャンペーン マネージャーにレビューを要求します。

Copilot コーディング エージェント にアラートを割り当てる

自動修正が生成された場合は、Copilot に 1 つ以上のアラートを割り当てることができます。 Copilot は、プルリクエストを作成し、自動修正を適用し、レビューの依頼を受けた担当者として追加します。

複数のアラートを割り当てることにより、Copilot コーディング エージェント は修正を適用し、コードを繰り返し確認して変更を検証し、新しいセキュリティの問題がないか確認し、マージの競合がないことを確認します。

1. リポジトリのキャンペーン ビューで、割り当てるアラートを選択します。
2. アラートの一覧の上にある [Copilot に割り当てる] をクリックします。

Copilot は 30秒以内にプルリクエストを開き、Copilot とあなたに割り当てられたセキュリティの脆弱性に対処します。 pull request には、修正の概要と加えられた変更の詳細が含まれます。 作成されると、アラートの横にプル要求が表示されます。

安全なコーディングのために GitHub Copilot チャット を使用する

Copilot チャット にアクセスできる場合、脆弱性や修正の提案、修正が包括的であることをテストする方法について、AI に質問できます。