2 publicaciones etiquetados con "GitHub Advanced Security"

Imagina esto. Un agente de codificación de GitHub Copilot toma un issue, crea una rama, escribe la implementación en cuatro archivos, agrega pruebas y abre un pull request. El CI pasa. El escaneo de código no reporta alertas. Un desarrollador revisa el diff, lo aprueba y hace merge. El cambio se despliega a producción a través de un pipeline de despliegue automatizado.

Tres semanas después, una prueba de penetración descubre que el código generado por el agente introdujo una vulnerabilidad de falsificación de solicitudes del lado del servidor. El código era sintácticamente limpio, las pruebas cubrían el camino feliz, y el revisor no detectó la falla porque la lógica se veía razonable de forma aislada. Ahora el equipo necesita responder una pregunta para la cual su modelo de seguridad nunca fue diseñado: ¿quién es responsable del código que ningún humano escribió?

Introducción​

Desplegar GitHub Advanced Security (GHAS) entre los equipos de desarrollo puede ser una tarea compleja. Esta entrada de blog proporciona consejos y trucos para ayudarle a implementar con éxito GHAS e integrarlo con Microsoft Defender for Cloud, lo que garantiza que sus equipos no se vean abrumados y puedan maximizar las capacidades de escaneo de código, escaneo de secretos, escaneo de la cadena de suministro e infraestructura como escaneo de código.