Skydda dina Java program med GitHub Copilot modernisering

Att modernisera ditt Java program är inte en engångshändelse. Nya CVE:er publiceras varje dag, nya CWE-fynd upptäcks i takt med att din kod utvecklas och beroenden uppfyller gradvis inte längre kraven. Att hålla applikationen säker innebär att kontinuerligt upptäcka och åtgärda säkerhetsskuld – ett hållbart sätt att se på applikationssäkerhet.

GitHub Copilot modernisering hjälper dig med två funktioner:

  • Säkerhetsbedömning – söker igenom koden efter CWE-resultat som styrs av ISO/IEC 5055 och efter CVE-sårbarheter i dina direkta och transitiva beroenden.
  • Kodåtgärd – genererar en åtgärdsplan för att åtgärda de valda problemen och utför åtgärderna åt dig.

Du hittar de här funktionerna i:

  • Visual Studio Code – interaktiv genomsökning och korrigering som beskrivs i den här artikeln.
  • Modernisera CLI – säkerhet är en av utvärderingsdomänerna i batchutvärdering, så du kan skanna en portfölj med program i en enda körning.

Skanna och lösa säkerhetsproblem i Visual Studio Code

Följ de här stegen för att utvärdera och åtgärda säkerhetsproblem i ett flöde.

1. Starta säkerhetsgenomsökningen

I fönstret GitHub Copilot modernisering öppnar du vyn Quick Start och väljer Scan & Lös säkerhetsproblem.

Skärmbild av Visual Studio Code som visar snabbstartsvyn med knappen Skanna och lösa säkerhetsproblem.

Copilot kör en utvärdering av säkerhetsdomäner i projektet. Genomsökningen omfattar:

  • En kuraterad uppsättning CWE-regler som är anpassade till ISO/IEC 5055, grupperade i sex kategorier: Fil- och sökvägssäkerhet, inmatningsattacker, minnessäkerhet, kodkvalitet, autentiseringsuppgifter och hemligheter samt samtidighet och synkronisering.
  • CVE-fynd i dina direkta och transitiva beroenden, hämtade från databasen GitHub Security Advisories.

Den fullständiga katalogen med CWE-regler och information om CVE-täckning finns i Förstå utvärderingstäckning.

Anmärkning

CVE-kontroller fungerar utan GitHub autentisering, men anonyma anrop är hastighetsbegränsade. För stora projekt loggar du in med gh auth login för att undvika begränsning.

2. Granska rapporten

När genomsökningen är klar öppnas utvärderingsrapporten med säkerhetsresultaten.

Skärmbild av utvärderingsrapporten i Visual Studio Code som visar CWE- och CVE-resultaten.

Ange Säkerhet: Minsta CVE-allvarlighetsgrad i utvärderingskonfigurationen för att kontrollera vilken CVE-yta som ska visas. Godkända värden är critical, high, mediumoch low; standardvärdet är high.

3. Välj de problem som ska åtgärdas och skapa en plan

Välj de problemkategorier som du vill åtgärda. Åtgärdsknappen uppdateras för att visa antalet – till exempel Skapa plan (3).. Markera den för att generera en exekveringsplan.

Skärmbild av utvärderingsrapporten med valda kategorier för säkerhetsproblem och knappen Skapa plan markerad.

4. Granska planen

Copilot skriver körningsplanen som en Markdown-fil och öppnar den i förhandsgranskningsfönstret så att du kan läsa den innan någon korrigering tillämpas. Planen beskriver hur Copilot grupperar och åtgärdar de valda problemen. Den grupperar CVE-problem efter beroende och CWE-resultat efter fil. Om du vill ändra omfånget eller ordningen redigerar du Markdown-filen direkt.

Skärmbild av säkerhetsexekveringsplanen i Markdown-förhandsgranskningen i Visual Studio Code.

5. Genomför planen

När du är nöjd med planen kan du be Copilot i chatten att köra den. Copilot löser de valda problemen grupp för grupp, skapar projektet för att verifiera varje ändring och rapporterar förloppet i chatten. Granska de resulterande diffarna och checka in de ändringar som du vill behålla.

Håll dig vintergrön

Säkerhetsskulden återkommer när nya CVE:er publiceras och när din applikation ändras. Kör Skanna och åtgärda säkerhetsproblem igen som en del av din regelbundna moderniseringscykel – till exempel för varje releasegren – så att du kontinuerligt upptäcker och åtgärdar problem i stället för att samla dem till en stor uppgradering.

Nästa steg

  • Last updated on