Vai al contenuto principale
Collega GitHub Security Advisories al tuo flusso di lavoro di engineering. Questa automazione pianificata analizza le tue repo confrontandole con il database CVE e con il feed di advisory di GitHub, elimina i duplicati dai risultati e crea ticket in ordine di priorità, così le vulnerabilità non restano senza riscontro nella scheda Security.

Usa questo template

Apri Dependency Vulnerability Scanner in Devin e crea l’automazione con la configurazione predefinita. Puoi personalizzarla prima di salvarla.

Cosa fa questa automazione

Mentre il template Scansione delle vulnerabilità di sicurezza si concentra sull’esecuzione degli scanner, questo si concentra sull’agire in base ai risultati: ordinare i risultati per gravità, correlarli con i ticket già aperti (per evitare duplicati) e generare attività concrete con chiare raccomandazioni per la risoluzione.

Come funziona

Trigger: Evento di pianificazionerecurring
  • Evento: schedule:recurring
    • Condizioni:
      • rrule corrisponde a FREQ=DAILY;BYHOUR=9;BYMINUTE=0
Cosa fa Devin: avvia una sessione con l’intero contesto dell’evento, esegue il prompt seguente e, facoltativamente, ti invia una notifica in caso di errore.

Prerequisiti

Esempio di prompt

Questo template include il seguente prompt. Puoi modificarlo dopo aver fatto clic su Use template, oppure lasciarlo così com’è.

Configurazione

  1. Apri Automations → Templates in Devin.
  2. Fai clic su Dependency Vulnerability Scanner. Si aprirà la pagina di creazione con questo template già precompilato.
  3. Collega tutte le integrazioni richieste e installa i server MCP, se non l’hai già fatto.
  4. Sostituisci tutti i valori segnaposto nelle condizioni del trigger (ad esempio, sostituisci your-org/your-repo con il tuo repo reale).
  5. Rivedi il prompt e adattalo al linguaggio, alle convenzioni e alle barriere di sicurezza del tuo team.
  6. Fai clic su Create automation.
La maggior parte dei template di automazione include limiti suggeriti di ACU e di invocazione per contenere i costi durante le prime fasi del rollout. Mantienili invariati finché non sei sicuro del comportamento dell’automazione, poi aumentali in base al tuo carico di lavoro.

Quando usare questo modello

  • Team attenti alla sicurezza che necessitano di una gestione continua delle dipendenze
  • Programmi di compliance che richiedono l’apertura di ticket per le vulnerabilità
  • Riduzione del tempo medio di risoluzione (MTTR) per le CVE note
  • Organizzazioni multi-repo con molti linguaggi e package manager

Idee di personalizzazione

  • Limita l’ambito a repo specifici o a specifici ecosistemi di package
  • Instrada le vulnerabilità critiche verso un canale di escalation ad alta priorità
  • Integralo con il tuo sistema di ticketing (Linear, Jira, GitHub Issues)
  • Combinalo con Scansione delle vulnerabilità di sicurezza per coprire sia la scansione sia la risoluzione

Vedi anche