Protección de las aplicaciones de Java con modernización de GitHub Copilot

La modernización de la aplicación Java no es un evento único. Cada día se publican nuevos CVE, surgen nuevos hallazgos de CWE a medida que tu código evoluciona y las dependencias dejan de cumplir la normativa. Mantener la aplicación segura significa detectar y corregir continuamente la deuda de seguridad : la forma constante de pensar en la seguridad de las aplicaciones.

La modernización con GitHub Copilot le ayuda con dos capacidades:

• Evaluación de seguridad - analiza tu código en busca de hallazgos de CWE guiados por la norma ISO/IEC 5055 y de vulnerabilidades CVE en tus dependencias directas y transitivas.
• Corrección de código : genera un plan de ejecución para corregir los problemas seleccionados y aplica las correcciones automáticamente.

Puede encontrar estas funcionalidades en:

• Visual Studio Code: examen interactivo y corrección, que se tratan en este artículo.
• Modernizar la CLI: la seguridad es uno de los dominios de evaluación en la evaluación por lotes, por lo que puede analizar un conjunto de aplicaciones en una sola ejecución.

Examen y resolución de problemas de seguridad en Visual Studio Code

Siga estos pasos para evaluar y corregir problemas de seguridad en un flujo.

1. Iniciar el examen de seguridad

En el panel modernización de GitHub Copilot, abra la vista Inicio rápido y seleccione Analizar y resolver problemas de seguridad.

Copilot ejecuta una evaluación de dominio de seguridad en el proyecto. El examen cubre:

• Un conjunto mantenido de reglas CWE alineadas con ISO/IEC 5055, agrupados en seis categorías: Seguridad de archivo y ruta de acceso, ataques por inyección, seguridad de memoria, calidad de código, credenciales y secretos y simultaneidad y sincronización.
• Hallazgos de CVE en sus dependencias directas y transitivas, procedentes de la base de datos GitHub Security Advisories.

Para obtener el catálogo completo de reglas de CWE y los detalles de la cobertura de CVE, consulte Información sobre la cobertura de la evaluación.

2. Revisar el informe

Cuando finalice el análisis, se abrirá el Informe de evaluación con los hallazgos de seguridad.

Para controlar qué CVE aparecen, establezca Seguridad: Gravedad mínima de CVE en la configuración de la evaluación. Los valores aceptados son critical, high, mediumy low; el valor predeterminado es high.

3. Elegir los problemas para corregir y crear un plan

Seleccione las categorías de problemas que desea corregir. El botón de acción se actualiza para mostrar el recuento, por ejemplo, Crear plan (3). Selecciónelo para generar un plan de ejecución.

4. Revisar el plan

Copilot escribe el plan de ejecución como un archivo Markdown y lo abre en el panel de vista previa para que pueda leerlo antes de aplicar cualquier corrección. El plan describe cómo Copilot agrupa y aborda los problemas seleccionados. Agrupa las incidencias de CVE por dependencia y los hallazgos de CWE por archivo. Si desea cambiar el ámbito o el orden, edite el archivo Markdown directamente.

5. Ejecutar el plan

Cuando estés satisfecho con el plan, dile a Copilot en el chat que lo ejecute. Copilot resuelve el grupo de problemas seleccionado por grupo, compila el proyecto para validar cada cambio e informa del progreso en el chat. Revise las diferencias resultantes y confirme los cambios que desea conservar.

Manténgase perenne

La deuda de seguridad vuelve a aparecer a medida que se publican nuevos CVE y a medida que cambia la aplicación. Vuelva a ejecutar Scan & Resolve Security Issues como parte de su cadencia de modernización normal , por ejemplo, en cada rama de versión, para detectar y corregir problemas continuamente en lugar de acumularlos en una actualización grande.

Pasos siguientes

• Comprenda la cobertura de la evaluación - catálogo completo de reglas de CWE y detalles sobre la cobertura de CVE.
• Trabajar con la evaluación
• Evaluación por lotes con el agente de modernización de GitHub Copilot