Skip to main content

Suchen vorhandener Sicherheitsrisiken im Code

Copilot Chat kann beim Suchen nach häufigen Sicherheitsrisiken in deinem Code helfen und Fehlerbehebungen vorschlagen.

Obwohl die meisten neuen Sicherheitsrisiken von vielen Entwicklern als „Allgemeinwissen“ betrachtet werden, sind sie beispielsweise auf Cross-Site-Scripting (XSS), Einschleusung von SQL-Befehlen und websiteübergreifende Anforderungsfälschung (CSRF) zurückzuführen. Diese Sicherheitsrisiken können mit sicheren Programmiermethoden wie parametrisierten Abfragen, Eingabeüberprüfung und Vermeiden hartcodierter vertraulicher Daten verringert werden. GitHub Copilot kann dabei helfen, diese Probleme zu erkennen und zu beheben.

Note

Copilot Chat kann zwar dabei helfen, häufige Sicherheitsrisiken zu finden und zu beheben, doch du solltest dich nicht auf Copilot verlassen, um eine umfassende Sicherheitsanalyse zu erhalten. Mit Sicherheitstools und -features kannst du die Sicherheit deines Codes besser gewährleisten. Weitere Informationen zu GitHub-Sicherheitsfeatures findest du unter GitHub-Sicherheitsfeatures.

Beispielszenario

Der folgende JavaScript-Code weist ein potenzielles XSS-Sicherheitsrisiko auf. Dies könnte ausgenutzt werden, wenn der Parameter name nicht richtig bereinigt wird, bevor er auf der Seite angezeigt wird.

function displayName(name) {
  const nameElement = document.getElementById('name-display');
  nameElement.innerHTML = `Showing results for "${name}"`
}

Beispiel für Prompt

Du kannst Copilot Chat auffordern, Code auf häufige Sicherheitsrisiken zu untersuchen und Erklärungen und Fehlerbehebungen für die gefundenen Probleme bereitzustellen.

Analyze this code for potential security vulnerabilities and suggest fixes.

Beispielantwort

Note

Die folgende Antwort ist ein Beispiel. Da die Copilot Chat-Antworten nicht deterministisch sind, erhältst du möglicherweise eine andere Antwort als die hier beschriebene.

Copilot gibt als Antwort eine Erläuterung des Sicherheitsrisikos aus und schlägt Änderungen am Code vor, um es zu beheben.

function displayName(name) {
  const nameElement = document.getElementById('name-display');
  nameElement.textContent = `Showing results for "${name}"`;
}

Weitere Informationen