O GitHub anunciou a disponibilidade geral das campanhas de segurança, uma funcionalidade que visa facilitar a cooperação entre desenvolvedores e equipes de segurança na correção de vulnerabilidades em projetos hospedados na plataforma. Após o lançamento da prévia pública em outubro de 2024, o recurso agora está disponível para todos os clientes que utilizam o GitHub Advanced Security e o GitHub Code Security.
Leia também
Simulação leva LLMs a criarem jailbreaks
ReliaQuest recebe investimento de US$ 500 milhões
A proposta das campanhas de segurança é enfrentar um problema recorrente: a baixa taxa de correção das vulnerabilidades identificadas por ferramentas automatizadas. Mesmo com recursos como o CodeQL, que automatiza a descoberta de falhas, e o Copilot Autofix, que sugere correções, muitos dos problemas detectados permanecem sem resolução, acumulando-se e ampliando a chamada dívida de segurança das organizações.
Segundo o GitHub, a introdução das campanhas de segurança resultou na correção de 55% das vulnerabilidades priorizadas durante o período de testes, frente a apenas 10% quando o recurso não era utilizado. A nova abordagem consiste em um processo estruturado com três etapas principais. Primeiro, as equipes de segurança definem as vulnerabilidades prioritárias com o auxílio de modelos pré-configurados focados em falhas comuns. Em seguida, essas vulnerabilidades são organizadas em uma campanha com cronograma definido.
Os desenvolvedores impactados são então notificados, e as tarefas relacionadas à correção das falhas são integradas aos seus fluxos de trabalho, tornando o processo de resposta mais natural e previsível. O Copilot Autofix entra em ação sugerindo automaticamente correções para os alertas incluídos na campanha, facilitando o trabalho dos envolvidos.
Diferentemente de uma simples lista de problemas, cada campanha inclui notificações personalizadas para que os desenvolvedores saibam exatamente quais alertas estão sob sua responsabilidade. Há também um gerente atribuído para supervisionar a campanha, oferecer suporte técnico e manter a comunicação fluida entre os times. Os responsáveis pela segurança ainda têm acesso a uma visão consolidada do progresso da organização, o que facilita o acompanhamento e a colaboração contínua com as equipes de desenvolvimento.
A funcionalidade consolida o papel do GitHub como plataforma de DevSecOps, integrando segurança diretamente nos ciclos de desenvolvimento e incentivando um modelo de resposta mais eficiente e colaborativo.
