メモ
運用コンテキストと Microsoft Defender for Cloud との統合はパブリック プレビュー にあり、変更される可能性があります。
運用コンテキストを使用したアラートの優先順位付け
Application Security (AppSec) マネージャーは、多くの場合、大量のアラートに圧倒されます。その多くは、影響を受けるコードが運用環境に移行しないため、実際のリスクを表さない可能性があります。 運用コンテキストをアラートに関連付けることで、運用環境で実際に承認されている成果物に影響を与える脆弱性をフィルター処理し、優先順位を付けることができます。 これにより、チームは最も重要な脆弱性の修復作業に集中し、ノイズを減らし、セキュリティ態勢を向上させることができます。
運用コンテキストとアラートの関連付け
GitHub を使用すると、REST API を使用してDependabot アラートと code scanning アラートの運用コンテキストを提供できます。
-
[ストレージ レコード](/rest/orgs/artifact-metadata#create-artifact-metadata-storage-record) -
[デプロイ レコード](/rest/orgs/artifact-metadata#create-an-artifact-deployment-record)
ストレージレコードAPI
この API を使うと、パッケージ レジストリまたは GitOps ワークフローは成果物のライフサイクル データを GitHub に送信できます。 成果物が運用環境で承認されたパッケージ リポジトリに昇格されるたびに、エンドポイントを呼び出すシステムを構成する必要があります。
GitHub によってこのメタデータが処理され、それを使って artifact-registry-url や artifact-registry などの新しいアラート フィルターが強化されます。 詳細については、REST API ドキュメントの「Create artifact metadata storage record」を参照してください。
ヒント
JFrog Artifactory を使う場合は、カスタム統合を実行する必要はありません。 Artifactory は、Storage Record API とネイティブに統合されています。 Artifactory 設定で統合を有効にするだけで、運用環境昇格イベントは Artifactory から GitHub に自動的に送信されます。 セットアップ手順については、 JFrog と GitHub Integration: JFrog for GitHub Dependabot を JFrog ドキュメントで参照してください。
デプロイ レコード API
この API を使用すると、システムは特定の成果物のデプロイ データを GitHub に送信できます (名前、ダイジェスト、環境、クラスター、デプロイなど)。
GitHub によってこのメタデータが処理され、それを使って has:deployment や runtime-risk などの新しいアラート フィルターが強化されます。 詳細については、REST API ドキュメントの 成果物デプロイ レコードの作成 を参照してください。
ヒント
Microsoft Defender for Cloud (MDC) を使用し、インスタンスを GitHub 組織に接続すると、MDC はデプロイデータとランタイム データを GitHub に自動的に送信します。 詳細については、ドキュメントの「MDC」の中にある「クイックスタート: 自分のGitHub環境をMicrosoft Defender for Cloudに接続する方法」を参照してください。
アラートの優先順位付けに運用コンテキストを有効にして使用する
1. プロダクションアーティファクトのプロモーションおよびデプロイを検出して報告する
CI/CD または GitOps ワークフローでは、成果物が運用環境で承認されたパッケージ リポジトリに昇格されるたびに、Storage Record API を呼び出して、成果物のメタデータを GitHub に送信します。 成果物が運用環境にデプロイされるたびに、Deployment Record API を呼び出して、成果物の追加メタデータを GitHub に送信します。
2. 運用コンテキスト フィルターを使用する
運用コンテキスト フィルターは、[ セキュリティ ] タブのアラート ビューとセキュリティ キャンペーン ビューで使用できます。
-
**Dependabot alerts の表示**: [Dependabot alerts の表示](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts)を参照してください。 -
**Code scanning アラート ビュー**: [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository) を参照してください。 -
**セキュリティ キャンペーン ビュー**: [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns) を参照してください。
アラートリストが表示されたら、組織ビューの artifact-registry-url または artifact-registry フィルターを使用して、運用環境に存在するアーティファクトに影響を与える脆弱性に焦点を当てます。
-
`my-registry.example.com`でホストされている独自のアーティファクト リポジトリの場合は、次を使用します。Text artifact-registry-url:my-registry.example.com
artifact-registry-url:my-registry.example.com -
JFrog Artifactory を使用する場合は、GitHubでこれ以上セットアップを行っていない
artifact-registryを使用できます。Text artifact-registry:jfrog-artifactory
artifact-registry:jfrog-artifactory
また、 has:deployment フィルターと runtime-risk フィルターを使用して、デプロイ時や実行時の脆弱性のリスクでデプロイ メタデータに表示される脆弱性に焦点を当てることもできます。 MDC に接続している場合、このデータは自動的に入力されます。 例えば次が挙げられます。
-
インターネットに公開されているデプロイされたコードのアラートに焦点を当てるには、次のコマンドを使用します。
Text has:deployment AND runtime-risk:internet-exposed
has:deployment AND runtime-risk:internet-exposed
これらの運用コンテキスト フィルターを、EPSS などの他のフィルターと組み合わせることもできます。
epss > 0.5 AND artifact-registry-url:my-registry.example.com
epss > 0.5 AND artifact-registry-url:my-registry.example.com
3. 運用コードでアラートを修復する
これで、運用コードを悪用のリスクにさらすアラートを特定しました。緊急性の問題として修復する必要があります。 可能な場合は、自動化を使用して修復の障壁を下げる。
-
**Dependabot alerts:** セキュリティ修正には、自動プルリクエストを使用します。 「[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)」を参照してください。 -
**Code scanning アラート:** Copilotの自動修正 を使用してターゲット キャンペーンを作成します。 「[AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)」を参照してください。
詳細については、次を参照してください。
-
[AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)