Para atender àqueles que preferem investir seu tempo lançando novas funcionalidades em vez de lidar com alertas de segurança, o GitHub criou ferramentas como o Copilot Autofix, que funciona diretamente nas solicitações de alteração (pull requests), permitindo que as equipes corrijam problemas de segurança até 60% mais rápido, reduzindo significativamente o Tempo Médio de Correção (MTTR) em comparação a correções manuais. O Autofix ajuda a identificar vulnerabilidades antes que cheguem à produção, reduzindo o tempo gasto com correções de bugs e permitindo mais tempo para codificação.

Não quer perder as últimas notícias de tecnologia? Siga o perfil do 33Giga no Instagram e no Bluesky

Mas e as vulnerabilidades que já estão escondidas em códigos existentes? Cada falha de segurança não resolvida aumenta a dívida de segurança — um risco crescente que não pode ser ignorado. Na verdade, dados do GitHub mostram que as equipes geralmente corrigem apenas 10% da sua dívida de segurança, deixando 90% das vulnerabilidades sem priorização e sem solução.

Dados mostram que a dívida de segurança é o maior risco que os clientes enfrentam. Historicamente, apenas 10% dos alertas remanescentes no código fundido foram corrigidos, o que significa que, até hoje, 90% dos riscos não eram priorizados. Agora, 55% da dívida de segurança incluída em campanhas foi corrigida.

As campanhas de segurança preenchem essa lacuna ao unir especialistas em segurança e pessoas desenvolvedoras, otimizando o processo de correção de vulnerabilidades diretamente no fluxo de trabalho e em escala. Usando o Copilot Autofix para gerar sugestões de código para até 1 mil alertas de varredura de código ao mesmo tempo, essas iniciativas ajudam as equipes de segurança a lidar com a triagem e priorização, enquanto é possível corrigir rapidamente os problemas usando o Autofix — sem interromper o ritmo do desenvolvimento.

Campanhas de segurança na prática

Desde que as campanhas de segurança foram lançadas em prévia pública no GitHub Universe no ano passado, organizações em diferentes estágios de maturidade em segurança começaram a testá-las. Seja para reduzir a dívida de segurança em toda a organização, seja para direcionar alertas em repositórios críticos, essa iniciativa tem agregado valor tanto para pessoas desenvolvedoras quanto para equipes de segurança no combate a vulnerabilidades.

“As campanhas de segurança simplificam a vida das nossas pessoas desenvolvedoras. Eles podem agrupar facilmente alertas de múltiplos repositórios, reduzindo o tempo gasto na triagem e priorização, enquanto corrigem rapidamente os problemas mais críticos com a ajuda do Copilot Autofix”, afirma José Antonio Moreno, Engenheiro DevSecOps, Lumen.

Em uma amostra de clientes iniciais, foi descoberto que 55% dos alertas incluídos em campanhas foram corrigidos, em comparação com apenas 10% da dívida de segurança fora delas – aumento de 5,5 vezes. Isso mostra que, quando os alertas são incluídos em uma campanha, é possível passar mais tempo focado na correção da dívida de segurança, já que a priorização dos alertas já foi feita pela equipe. Na verdade, nossos dados mostram que alertas em campanhas recebem aproximadamente o dobro do engajamento das pessoas desenvolvedoras em comparação àqueles fora dessas iniciativas.

Campanhas de segurança: como funcionam

A triagem e priorização de problemas de segurança já existentes no código precisam acontecer como parte do ciclo normal de desenvolvimento de software. As equipes de produto, pressionadas para entregar mais código rapidamente, no entanto, frequentemente lutam para dedicar tempo suficiente analisando seus alertas de segurança e decidindo quais resolver primeiro. Mas na maioria das empresas de software, já existe um grupo de especialistas que entende esses riscos: o time de segurança. Com as campanhas, aproveitamos as diferentes forças de pessoas desenvolvedoras e equipes para criar uma nova abordagem colaborativa para lidar com a dívida de segurança.

1. As equipes de segurança priorizam quais riscos precisam ser abordados em seus repositórios por meio de uma campanha de segurança, que vem com templates pré-definidos, baseados em temas amplamente usados (como as 10 Vulnerabilidades Mais Exploradas do MITRE), para ajudar a definir o escopo da campanha. O GitHub Security Overview também fornece estatísticas e métricas que resumem o panorama geral de riscos.
2. Depois que os alertas da campanha são selecionados e uma linha do tempo é estabelecida, a campanha é comunicada a todas as pessoas desenvolvedoras impactadas. O trabalho definido é integrado diretamente ao fluxo de trabalho das pessoas desenvolvedoras no GitHub, permitindo que seja planejado e gerenciado como qualquer outro trabalho de desenvolvimento de software.
3. O Copilot Autofix começa imediatamente a sugerir correções automáticas para todos os alertas em uma campanha, além de fornecer textos explicativos personalizados para detalhar os problemas. Corrigir um alerta se torna tão simples quanto revisar um diff e criar uma pull request.

Crucialmente, campanhas de segurança não são apenas listas de alertas. Incluem notificações para garantir que as pessoas desenvolvedoras saibam quais são de sua responsabilidade (ou de sua equipe). Para fortalecer a colaboração entre pessoas desenvolvedoras e a equipe de segurança, cada campanha conta com um gerente designado, responsável por supervisionar o progresso e prestar suporte às pessoas desenvolvedoras. E, claro, os gerentes de segurança têm uma visão geral de nível organizacional no GitHub, permitindo acompanhar o progresso e colaborar com os pessoas desenvolvedoras conforme necessário.

Agora, também é possível acessar novos recursos para planejar e gerenciar campanhas de forma mais eficiente:

• Campanhas de segurança em rascunho: gerentes de segurança agora podem ajustar o escopo das campanhas e salvá-las como rascunho antes de disponibilizá-las para pessoas desenvolvedoras. Com isso, é possível garantir que os alertas de maior prioridade sejam incluídos antes que o trabalho seja iniciado.
• Issues automatizadas no GitHub: gerentes de segurança podem opcionalmente criar issues no GitHub para os repositórios que possuem alertas incluídos na campanha. Essas issues são criadas e atualizadas automaticamente conforme a campanha avança, ajudando as equipes a acompanhar, gerenciar e discutir o progresso do trabalho.
• Estatísticas de campanhas de segurança no nível da organização: agora, gerentes de segurança podem visualizar estatísticas agregadas mostrando o progresso de todas as campanhas ativas e anteriores.

Para mais informações sobre como usar campanhas de segurança, é possível consultar a seção Sobre campanhas de segurança na documentação do GitHub.

Campanhas de segurança já disponíveis

Se uma organização utiliza GitHub Advanced Security ou GitHub Code Security, já é possível começar a aproveitar as campanhas de segurança. Para saber mais sobre como o GitHub Code Security pode ajudar a proteger códigos em larga escala, demonstrações estão disponíveis.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga