Отслеживание оповещений при сканировании кода с помощью проблем

Подключите данные по безопасности к рабочему процессу вашей команды, связывая code scanning оповещения с проблемами для отслеживания и совместной работы.

Кто может использовать эту функцию?

People with write access for the repository can link code scanning alerts to issues.

В этой статье

Примечание.

Code scanning Отслеживание оповещений с GitHub помощью проблем сейчас актуально Публичный предварительный просмотр и может измениться.

Как работает связывание оповещений о проблеме

Когда code scanning вы обнаружите уязвимость в вашем коде, вы можете связать оповещение с GitHubпроблемой , чтобы отслеживать работу по устранению. Это вносит исправления безопасности в ваш текущий рабочий процесс планирования и управления проектами, делая уязвимости заметными в планировании спринта, проектных досках и командных задолженностях.

Каждое уведомление может связываться с одной проблемой, а каждая — отслеживать до 50 различных оповещений. Эта гибкость позволяет группировать связанные уязвимости или отслеживать их индивидуально, в зависимости от рабочего процесса вашей команды.

Вы можете связывать оповещения с проблемами в любом репозитории, куда у вас есть доступ и GitHub Issues он включён, а не только на репозитории, где оно было найдено. Это полезно, когда вы отслеживаете работу в центральном репозитории или используете отдельный трекер проблем для исправления проблем.

Понимание поведения синхронизации

Статусы оповещений и выпуска не синхронизируются автоматически. Изменения в оповещении не обновляют связанную проблему, и наоборот. Это означает:

  • Когда вы исправляете уязвимость и оповещение автоматически закрывается, связанная проблема остаётся открытой, пока вы не закроете её вручную.
  • При закрытии или повторном открытии выпуска статус оповещения остаётся неизменным.
  • При удалении проблемы ссылка удаляется со страницы оповещений и списка оповещений, но само оповещение остаётся открытым.

Лучшие практики управления связанными оповещениями и проблемами

Чётко отслеживайте ход рекультивации. Когда вы фиксируете исправление, добавьте комментарий к связанной проблеме, отметив, что код обновлён. После следующего code scanning запуска, когда оповещение закрыто, закройте проблему вручную.

Используйте ярлыки для отображения статуса. Создайте метки проблемы, такие как «code-fixed-awaiting-scan» или используйте поля проекта, чтобы указать, когда уязвимость устранена, но она ждёт окончательной проверки и завершения.

Распределите ответственность. Используйте задачных назначенцев, чтобы ясно объяснить, кому принадлежит работа по устранению проблем, особенно когда команды безопасности и разработки должны координировать свою деятельность.