現代化你的 Java 應用程式不是一次性的事。 每天都有新的 CVE 發布,隨著程式碼演進,新的 CWE 發現也會浮現,依賴性也會逐漸脫離合規。 保持應用程式安全意味著 持續偵測並修正安全債 ——這是思考應用程式安全的常態方式。
GitHub Copilot 現代化協助你提供兩項功能:
- 安全評估——掃描你的程式碼,找出依據 ISO/IEC 5055 的 CWE 發現項目,以及你直接與傳遞相依性中的 CVE 漏洞。
- 程式碼修復 ——產生執行計畫來修正所選問題,並替你套用修正。
你可以在以下平台找到這些功能:
- Visual Studio Code - 互動式掃描與修復,本文涵蓋。
- 現代化 CLI - 安全性是 批次評估中的一個評估領域,因此你可以一次掃描多個應用程式組合。
掃描並解決 Visual Studio Code 的安全問題
請依照以下步驟在一個流程中評估並修復安全問題。
1. 開始安全掃描
在
Copilot 會對你的專案進行安全領域評估。 掃描涵蓋:
- 一套精選的 CWE 規則,依據 ISO/IEC 5055 規範,分為六大類別: 檔案與路徑安全、 注入攻擊、 記憶體安全、 程式碼品質、 憑證與秘密,以及 並發與同步。
- 你直接和間接相依性中的 CVE 發現項目,資料來源為 GitHub Security Advisories 資料庫。
欲了解完整的 CWE 規則目錄及 CVE 覆蓋細節,請參見 「了解評估覆蓋範圍」。
備註
CVE 檢查可在無需 GitHub 認證的情況下運作,但匿名通話有速率限制。 對於大型專案,請使用 gh auth login 登入,以避免節流。
2. 審查報告
掃描結束後, 評估報告 會以安全發現開啟。
要控制哪些 CVE 會浮現,請在評估設定中設定 安全性:最低 CVE 嚴重度 。 公認值為 critical、 high、 medium、 low;預設值為 high。
3. 挑選要解決的問題並制定計畫
選擇你想修正的問題類別。 動作按鈕會更新顯示計數——例如,建立計畫(3)。 選擇它以產生執行計畫。
4. 檢視計畫
Copilot 會把執行計畫寫成 Markdown 檔案,然後在預覽窗格打開,讓你在修正前就能閱讀。 計畫說明 Copilot 如何組織並解決所選議題。 它依相依性將 CVE 問題分組,並依檔案將 CWE 發現分組。 如果你想更改範圍或順序,請直接編輯 Markdown 檔案。
5. 執行計畫
當你對計畫感到滿意時,在聊天室告訴 Copilot 執行它。 Copilot 會逐組解決選定的問題,建立專案以驗證每項變更,並在聊天中回報進度。 檢視產生的差異,並提交你想保留的變更。
保持常青
隨著新的 CVE 公布以及應用程式發生變更,安全性債務會再次出現。 將 掃描並解決安全性問題 重新執行,作為定期現代化節奏的一部分——例如在每個發行分支上——如此一來,你就能持續發現並修正問題,而不是把它們累積成一次大型升級。
下一步
- 了解評估覆蓋範圍 ——完整的CWE規則與CVE覆蓋細節。
- 與評量合作
- 使用 GitHub Copilot 現代化代理程式進行批次評估