Monitoreo de alertas de análisis de código mediante incidencias

Conecte los resultados de seguridad al flujo de trabajo de su equipo mediante la vinculación code scanning de alertas a problemas de seguimiento y colaboración.

¿Quién puede utilizar esta característica?

People with write access for the repository can link code scanning alerts to issues.

En este artículo

Nota:

          Code scanning el seguimiento de alertas mediante GitHub incidencias actualmente se encuentra en versión preliminar pública y está sujeto a cambios.

Funcionamiento de la vinculación de alerta a problema

Cuando code scanning identifica una vulnerabilidad en el código, puede vincular la alerta a un GitHubproblema para realizar un seguimiento del trabajo de corrección. Esto aporta correcciones de seguridad al flujo de trabajo de planeación y administración de proyectos existente, lo que hace que las vulnerabilidades sean visibles en el planeamiento de sprints, los paneles de proyecto y los trabajos pendientes de equipo.

Cada alerta puede vincularse a un único problema, mientras que cada problema puede realizar un seguimiento de hasta 50 alertas diferentes. Esta flexibilidad le permite agrupar vulnerabilidades relacionadas o realizar un seguimiento de ellas individualmente, en función del flujo de trabajo del equipo.

Puede vincular alertas a problemas en cualquier repositorio en el que tenga acceso y GitHub Issues esté habilitado, no solo en el repositorio donde se encontró la alerta. Esto resulta útil cuando realiza un seguimiento del trabajo en un repositorio central o usa un seguimiento de problemas independiente para las correcciones de seguridad.

Descripción del comportamiento de sincronización

          **Los estados de alerta y problema no se sincronizan automáticamente.** Los cambios realizados en una alerta no actualizan el problema vinculado y viceversa. Esto significa lo siguiente:
  • Cuando se corrige la vulnerabilidad y la alerta se cierra automáticamente, el problema vinculado permanece abierto hasta que se cierra manualmente.
  • Al cerrar o volver a abrir un problema, el estado de la alerta permanece sin cambios.
  • Al eliminar un problema, el vínculo se quita de la página de alertas y la lista de alertas, pero la propia alerta permanece abierta.

Procedimientos recomendados para administrar alertas y problemas vinculados

          **Supervise claramente el progreso de la remediación.** Al confirmar una corrección, agregue un comentario al problema vinculado que tenga en cuenta que el código se actualiza. Una vez que la siguiente code scanning ejecución confirma que la alerta está cerrada, cierre manualmente el problema.

          **Use etiquetas para mostrar el estado.** Cree etiquetas de problema como "code-fixed-awaiting-scan" o use campos de proyecto para indicar cuándo se ha corregido una vulnerabilidad, pero el problema está a la espera de la verificación y el cierre final.

          **Asignar responsabilidad.** Utilice los asignados de tareas para aclarar quién tiene la responsabilidad del trabajo de corrección, especialmente cuando los equipos de seguridad y desarrollo necesitan coordinarse.