Rastreamento de alertas de verificação de código usando questões

Conecte as descobertas de segurança ao fluxo de trabalho de sua equipe vinculando code scanning alertas a problemas de acompanhamento e colaboração.

Quem pode usar esse recurso?

People with write access for the repository can link code scanning alerts to issues.

Neste artigo

Observação

          Code scanning O acompanhamento de alertas usando GitHub questões está atualmente em versão prévia pública e está sujeito a alterações.

Como funciona a vinculação de alertas a problemas

Quando code scanning identifica uma vulnerabilidade em seu código, você pode vincular o alerta a um GitHubproblema para acompanhar o trabalho de correção. Isso traz correções de segurança para o fluxo de trabalho de planejamento e gerenciamento de projetos já existentes, tornando as vulnerabilidades visíveis no planejamento de sprint, nos quadros de projeto e nos backlogs das equipes.

Cada alerta pode ser vinculado a um único problema, enquanto cada problema pode acompanhar até 50 alertas diferentes. Essa flexibilidade permite agrupar vulnerabilidades relacionadas ou rastreá-las individualmente, dependendo do fluxo de trabalho da sua equipe.

Você pode vincular alertas a problemas em qualquer repositório em que tenha acesso e GitHub Issues esteja habilitado, não apenas no repositório em que o alerta foi encontrado. Isso é útil quando você acompanha o trabalho em um repositório central ou usa um rastreador de problemas separado para correções de segurança.

Noções básicas sobre o comportamento de sincronização

          **Os status de alerta e problema não são sincronizados automaticamente.** As alterações feitas em um alerta não atualizam o problema vinculado e vice-versa. Isso significa:
  • Quando você corrige a vulnerabilidade e o alerta é fechado automaticamente, o problema vinculado permanece aberto até que você a feche manualmente.
  • Quando você fecha ou reabre um problema, o status do alerta permanece inalterado.
  • Quando você exclui um problema, o link é removido da página de alerta e da lista de alertas, mas o alerta em si permanece aberto.

Práticas recomendadas para gerenciar alertas e problemas vinculados

          **Acompanhe claramente o progresso da correção.** Ao confirmar uma correção, adicione um comentário ao problema vinculado, observando que o código é atualizado. Depois que a próxima code scanning execução confirmar que o alerta está fechado, feche o problema manualmente.

          **Use rótulos para mostrar o status.** Crie rótulos de problema como "code-fixed-waiting-scan" ou use campos de projeto para indicar quando uma vulnerabilidade é corrigida, mas o problema está aguardando a verificação final e o fechamento.

          **Atribuir responsabilidade.** Use os responsáveis por questões para esclarecer quem é o proprietário do trabalho de remediação, especialmente quando as equipes de segurança e desenvolvimento precisam se coordenar.