GitHub宣布正式推出Security Campaigns功能,提供GitHub Advanced Security与GitHub Code Security用户使用,助企业开发者与安全团队在既有程序代码,系统性发现并修补尚未解决的安全漏洞,以降低长期累积的安全债风险。
GitHub指出,虽然不少开发团队已将修补安全漏洞的工作,纳入日常拉取请求流程,通过GitHub的Code Scanning与Copilot Autofix功能,自动侦测与修复新出现的安全问题,但对于已经存在于程序代码库的旧漏洞,开发者往往缺乏系统性管理与处理的机制,导致安全债长期累积。
Security Campaigns的设计针对该痛点,其运行方式由安全团队主导,对企业内多个程序库进行漏洞风险盘点与筛选,决定优先处理的问题范畴,例如可依据MITRE已知十大常见漏洞类型,或组织自订条件筛选,创建一个活动范围明确的修补项目,并设置处理期限。完成规划后,系统会自动将活动内容通知相关开发者,并在开发者日常使用的GitHub工作界面中,显示待处理的漏洞项目。
开发者在Security Campaigns指定的修补任务中,可直接应用Copilot Autofix功能,自动取得修补程序代码建议,快速提交拉取请求进行修复。除了程序代码差异与说明文本,Security Campaigns也会自动创建GitHub Issues,让开发团队可依需求关注、协作或讨论修补进度。GitHub进一步提供Campaigns管理界面,让安全人员可以即时掌握各项修复项目的进度、个别漏洞的处理状态,以及开发者参与修补工作的活跃程度。
在管理流程上,Security Campaigns支持草稿模式,安全人员可事先创建草稿版本,进行范围与漏洞筛选的反复调整,确认内容无误后才正式发布。此外,Security Campaigns具备组织层级的统计功能,可集成显示所有已完成与进行中的项目数据,方便跨部门或跨项目的治理与审核需求。
GitHub提到,导入Security Campaigns的组织,平均可提升漏洞修补率至55%,高于传统仅约10%的修补率。
