Code-Scanning-Warnungsverfolgung mit Problemen

Verbinden Sie Sicherheitsergebnisse mit dem Workflow Ihres Teams, indem Sie Warnungen mit Problemen zur Nachverfolgung und Zusammenarbeit verknüpfen code scanning .

Wer kann dieses Feature verwenden?

People with write access for the repository can link code scanning alerts to issues.

In diesem Artikel

Hinweis

          Code scanning Die Warnungsverfolgung mit GitHub Issues befindet sich derzeit in öffentliche Vorschau und kann geändert werden.

Funktionsweise von Warnungs-zu-Problem-Verknüpfungen

Wenn code scanning eine Sicherheitsanfälligkeit in Ihrem Code identifiziert, können Sie die Warnung mit einem GitHubProblem verknüpfen, um die Behebung nachzuverfolgen. Dadurch werden Sicherheitsfixes in Ihren vorhandenen Planungs- und Projektmanagementworkflow integriert, wodurch Sicherheitsrisiken in Sprintplanung, Projektgremien und Team-Backlogs sichtbar werden.

Jede Warnung kann mit einem einzelnen Problem verknüpft werden, während jedes Problem bis zu 50 verschiedene Warnungen nachverfolgen kann. Mit dieser Flexibilität können Sie verwandte Sicherheitsrisiken gruppieren oder sie je nach Workflow Ihres Teams einzeln nachverfolgen.

Sie können Warnungen mit Problemen in jedem Repository verknüpfen, in dem Sie Zugriff haben und GitHub Issues aktiviert sind, nicht nur das Repository, in dem die Warnung gefunden wurde. Dies ist nützlich, wenn Sie die Arbeit in einem zentralen Repository nachverfolgen oder einen separaten Problemverfolgungs-Tracker für Sicherheitsupdates verwenden.

Grundlegendes zum Synchronisierungsverhalten

          **Warnungs- und Problemstatus werden nicht automatisch synchronisiert.** Änderungen, die Sie an einer Warnung vornehmen, aktualisieren das verknüpfte Problem nicht und umgekehrt. Dies bedeutet:
  • Wenn Sie die Sicherheitsanfälligkeit beheben und die Warnung automatisch geschlossen wird, bleibt das verknüpfte Problem geöffnet, bis Sie es manuell schließen.
  • Wenn Sie ein Problem schließen oder erneut öffnen, bleibt der Warnungsstatus unverändert.
  • Wenn Sie ein Problem löschen, wird der Link von der Warnungsseite und der Warnungsliste entfernt, die Warnung selbst bleibt jedoch geöffnet.

Bewährte Methoden zum Verwalten verknüpfter Warnungen und Probleme

          **Den Fortschritt der Fehlerbehebung klar verfolgen.** Wenn Sie einen Fix ausführen, fügen Sie dem verknüpften Problem einen Kommentar hinzu, der darauf hinweist, dass der Code aktualisiert wird. Nachdem die nächste code scanning Ausführung bestätigt hat, dass die Warnung geschlossen ist, schließen Sie das Problem manuell.

          **Verwenden Sie Bezeichnungen, um den Status anzuzeigen.** Erstellen Sie Problembezeichnungen wie "Code-fixed-awaiting-scan" oder verwenden Sie Projektfelder, um anzugeben, wann eine Sicherheitsanfälligkeit behoben ist, aber das Problem wartet auf die endgültige Überprüfung und das Schließen.

          **Verantwortung zuweisen.** Verwenden Sie Problembearbeiter, um sicherzustellen, wer die Behebungsarbeit übernimmt, insbesondere, wenn Sicherheits- und Entwicklungsteams koordinieren müssen.