セキュリティ キャンペーンでアラートを表示する
キャンペーンのターゲットが、書き込みアクセス権限を持つリポジトリ内のセキュリティ アラートである場合は、そのキャンペーン内のリポジトリ アラートの一覧に移動できます。
- リポジトリの [ Security and quality ] タブを表示し、サイドバーの [キャンペーン] の下にあるキャンペーンのいずれかをクリックします。
- 組織内の複数のリポジトリへの書き込みアクセス権がある場合は、組織の [ Security and quality ] タブを表示し、サイドバーの [キャンペーン] の下にあるいずれかのキャンペーンをクリックします。
- または、キャンペーンのメール通知で セキュリティ キャンペーンの表示 をクリックします。
このビューには、キャンペーンの現在のリポジトリのアラートが表示されます。これは "SQL インジェクション (CWE-89)" (灰色で強調表示) と呼ばれ、"octocat" (濃いオレンジ色の枠で囲まれている) によって管理されています。

セキュリティ キャンペーンでのアラートの修正
セキュリティ アラートをトリガーしたコードと修正候補を表示する場合は、アラート名をクリックしてアラート ビューを表示します。
リポジトリ Copilot クラウドエージェント 使用可能な場合、アラートを最も速く解決する方法は、 Copilotに割り当てることです。この方法では、コードベースを調査し、修正プログラムを生成して検証し、pull request を開きます。 以下の「Copilot クラウドエージェントへのアラートの割り当て」を参照してください。 次の手順では、代わりにアラートを自分で修正する方法について説明します。
-
1 つ以上のセキュリティ アラートに取り組む準備ができたら、既にそれらのアラートの作業を行っている人が他にいないことを確認します。 キャンペーン ビューでは、修正が既に進行中である可能性があるアラートに Git アイコンが表示されます。 アイコンをクリックすると、リンクされた作業が表示されます。
- 開いているドラフト pull request によってこのアラートが修正される場合があります。
- 開いている pull request によってこのアラートが修正される場合があります。
- ブランチには、このアラートを修正するための変更が含まれている場合があります。
-
リポジトリのキャンペーン ビューで、修正するアラートを選択します。
-
セキュリティ アラートを作業ブランチに接続します。
- 選択したアラートに対して少なくとも 1 つの "自動修正" 候補がある場合、自動修正のコミット をクリックし、変更を新しいブランチまたは既存のブランチにコミットします。
- 選択したアラートに対して自動修正候補が使用できない場合は、[ 新しいブランチの作成 ] をクリックして、アラートの修正に取り組む新しいブランチを作成します。
-
アラートの修正とソリューションのテストが完了したら、変更の pull request を作成して、キャンペーン マネージャーにレビューを要求します。
ヒント
キャンペーンの複数のリポジトリに対して書き込みアクセス許可がある場合は、リポジトリの [キャンペーンの進捗] ボックスのリンクをクリックして、組織レベルのキャンペーン ビューを表示します。 このビューからリポジトリを開くと、キャンペーン アラート ビューが表示されます。
Copilot クラウドエージェントへのアラートの割り当て
メモ
このオプションは現在パブリック プレビュー段階であり、変更される可能性があります。 Copilot クラウドエージェント はリポジトリで使用できる必要があります。
アラートを自分で修正する代わりに、キャンペーン ビューで 1 つ以上のアラート (最大 25 個) を選択して Copilotに割り当てることができます。このアラートは、選択したアラートを 1 つのプル要求で解決し、要求されたレビュー担当者として追加します。 これは、個々のアラートを修正するために使用されるのと同じ割り当てフローです。 「コード スキャン アラートを解決する」を参照してください。
- リポジトリのキャンペーン ビューで、割り当てるアラートを選択します。
- アラート一覧の上にある**に割り当てるCopilot** をクリックします。
通常、数分以内に、 Copilot によって、割り当てられたアラートに対処するプル要求が開き、修正と加えられた変更の概要が表示されます。 作成されると、アラートの横にプル要求が表示されます。
セキュリティで保護されたコーディングに ギットハブ コパイロット チャット を使用する
コパイロットチャットにアクセスできる場合は、脆弱性、推奨される修正プログラム、修正プログラムが包括的であることをテストする方法について AI に質問できます。
ヒント
Copilotリポジトリコンテキストでこのような自然言語の質問に答える能力は、リポジトリのセマンティック コード検索インデックスが最新の状態である場合に最適化されます。 詳しくは、「GitHub Copilotのリポジトリのインデックス作成」をご覧ください。