¿En qué consiste?
Nuestra integración con GitHub permite a los equipos de desarrollo resolver los problemas de vulnerabilidad con rapidez y confianza, gracias a un aprendizaje de la codificación segura muy pertinente y de tamaño reducido dentro de GitHub.
¿Por qué lo hemos creado?
Para ayudar a los desarrolladores a resolver vulnerabilidades con mayor rapidez y a aprender programación segura de forma continua.
Al ofrecerte el contenido relevante cuando y donde lo necesites, nuestras integraciones se convierten en parte de la solución, ayudándote a permanecer en el flujo en lugar de simplemente escanear el código y mostrar problemas sin ninguna ayuda para resolverlos.
En última instancia, al aprender de forma continua, adquieres habilidades para escribir código seguro desde el principio, lo que reduce las vulnerabilidades en la base de código.
¿Cómo funciona?
Cuando se encuentra información sobre vulnerabilidades en incidencias, pull requests o comentarios, la integración utiliza la API de Direct Linking de SCW para traer el contenido de aprendizaje más relevante de la plataforma de aprendizaje de SCW a GitHub y lo añade como comentario.
La relevancia del contenido se determina en función de las referencias de Common Weakness Enumeration (CWE) u Open Web Application Security Project (OWASP) que se encuentran en el título, el cuerpo, las etiquetas y los comentarios de la incidencia o del pull request. Si no se encuentran estas referencias, también buscará nombres y frases comunes de vulnerabilidades como "inyección SQL", "XSS", etc.
Contenido SCW en los comentarios del pull request
Contenido del SCW en los comentarios de la incidencia
Instalación y configuración
El plugin de GitHub puede descargarse desde GitHub Marketplace.
Puede encontrar más documentación sobre la configuración en aquí.
¿Qué datos envía y almacena la integración?
Para consultar nuestra política de privacidad completa, visite nuestro Centro de confianza en el sitio web principal.
¿Qué se envía a SCW y se recopila ?
- Estadísticas genéricas de uso (aperturas, clics) con información de origen (nombre del repositorio y propietario)
-
Información de vulnerabilidad coincidente sin información de origen
¿Qué se envía al SCW pero no se recoge?
- Los títulos, el cuerpo, los comentarios, las etiquetas y las anotaciones de las incidencias y las solicitudes de extracción se envían al SCW para identificar los recursos de aprendizaje , pero se descartan después de buscar referencias a vulnerabilidades.
Enlaces útiles
- Visión general: https://www.securecodewarrior.com/products/scw-for-github
- Mercado GitHub: https://github.com/marketplace/secure-code-warrior-for-github
- Guía de configuración: https://help.securecodewarrior.com/hc/es/articles/900001737346-Secure-Code-Warrior-for-Github-Issues-Configuration-Guide
- Entrada de blog: ¡Deja de interrumpir mi flujo de trabajo! Cómo obtener la formación de seguridad adecuada en el momento oportuno
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.