Zum Hauptinhalt springen
Schließen Sie die Lücke zwischen GitHub Security Advisories und Ihrem Engineering-Workflow. Diese zeitgesteuerte Automatisierung prüft Ihre Repositories anhand der CVE-Datenbank und des Advisory-Feeds von GitHub, entfernt doppelte Befunde und erstellt priorisierte Tickets — damit Schwachstellen nicht unbeachtet im Tab „Security“ verbleiben.

Diese Vorlage verwenden

Öffnen Sie Scanner für Schwachstellen in Abhängigkeiten in Devin und erstellen Sie die Automatisierung mit der Standardkonfiguration. Sie können sie vor dem Speichern anpassen.

Was diese Automatisierung macht

Während sich die Vorlage Sicherheitslücken-Scan auf das Ausführen von Scannern konzentriert, geht es hier darum, auf Basis der Ergebnisse zu handeln: Befunde nach Schweregrad zu sortieren, sie mit bereits offenen Tickets abzugleichen (um Duplikate zu vermeiden) und konkrete Aufgaben mit klaren Behebungsempfehlungen zu erstellen.

So funktioniert es

Auslöser: Zeitplan-Ereignisrecurring
  • Ereignis: schedule:recurring
    • Bedingungen:
      • rrule entspricht FREQ=DAILY;BYHOUR=9;BYMINUTE=0
Was Devin macht: Startet eine Sitzung mit dem vollständigen Ereigniskontext, führt den unten stehenden Prompt aus und benachrichtigt Sie bei einem Fehler optional.

Voraussetzungen

Beispiel-Prompt

Die Vorlage enthält diesen Prompt. Sie können ihn nach einem Klick auf Vorlage verwenden bearbeiten oder unverändert lassen.

Einrichtung

  1. Öffnen Sie Automations → Templates in Devin.
  2. Klicken Sie auf Scanner für Schwachstellen in Abhängigkeiten. Die Erstellungsseite wird mit dieser Vorlage bereits vorausgefüllt geöffnet.
  3. Verbinden Sie alle erforderlichen Integrationen und installieren Sie MCP-Server, falls Sie das noch nicht getan haben.
  4. Ersetzen Sie alle Platzhalterwerte in den Trigger-Bedingungen (tauschen Sie zum Beispiel your-org/your-repo gegen Ihr tatsächliches Repo aus).
  5. Überprüfen Sie den Prompt und passen Sie ihn an den Sprachgebrauch, die Konventionen und die Guardrails Ihres Teams an.
  6. Klicken Sie auf Create automation.
Die meisten Automatisierungsvorlagen enthalten empfohlene ACU- und Aufruflimits, um die Kosten während des anfänglichen Rollouts zu begrenzen. Belassen Sie diese zunächst unverändert, bis Sie sicher sind, dass sich die Automatisierung wie gewünscht verhält, und erhöhen Sie sie dann entsprechend Ihrem Workload.

Wann diese Vorlage sinnvoll ist

  • Sicherheitsorientierte Teams, die eine kontinuierliche Pflege von Abhängigkeiten benötigen
  • Compliance-Programme, die Ticketing für Schwachstellen erfordern
  • Senkung der mittleren Zeit bis zur Fehlerbehebung (MTTR) bei bekannten CVEs
  • Organisationen mit mehreren Repos sowie vielen Programmiersprachen und Paketmanagern

Ideen zur Anpassung

  • Auf bestimmte Repos oder Paket-Ökosysteme eingrenzen
  • Kritische Schwachstellen an einen Eskalations-Channel mit hoher Priorität weiterleiten
  • In Ihr Ticketsystem integrieren (Linear, Jira, GitHub Issues)
  • Mit Sicherheitslücken-Scan kombinieren, um eine lückenlose Scan-und-Fix-Abdeckung zu erhalten

Siehe auch