Отслеживание оповещений при сканировании кода с помощью проблем

Подключите данные по безопасности к рабочему процессу вашей команды, связывая code scanning оповещения с проблемами для отслеживания и совместной работы.

Кто может использовать эту функцию?

People with write access for the repository can link code scanning alerts to issues.

В этой статье

Примечание.

          Code scanning Отслеживание оповещений с GitHub помощью проблем сейчас актуально public preview и может измениться.

Как работает связывание оповещений о проблеме

Когда code scanning вы обнаружите уязвимость в вашем коде, вы можете связать оповещение с GitHubпроблемой , чтобы отслеживать работу по устранению. Это вносит исправления безопасности в ваш текущий рабочий процесс планирования и управления проектами, делая уязвимости заметными в планировании спринта, проектных досках и командных задолженностях.

Каждое уведомление может связываться с одной проблемой, а каждая — отслеживать до 50 различных оповещений. Эта гибкость позволяет группировать связанные уязвимости или отслеживать их индивидуально, в зависимости от рабочего процесса вашей команды.

Вы можете связывать оповещения с проблемами в любом репозитории, куда у вас есть доступ и GitHub Issues он включён, а не только на репозитории, где оно было найдено. Это полезно, когда вы отслеживаете работу в центральном репозитории или используете отдельный трекер проблем для исправления проблем.

Понимание поведения синхронизации

          **Статусы оповещений и выпуска не синхронизируются автоматически.** Изменения в оповещении не обновляют связанную проблему, и наоборот. Это означает:
  • Когда вы исправляете уязвимость и оповещение автоматически закрывается, связанная проблема остаётся открытой, пока вы не закроете её вручную.
  • При закрытии или повторном открытии выпуска статус оповещения остаётся неизменным.
  • При удалении проблемы ссылка удаляется со страницы оповещений и списка оповещений, но само оповещение остаётся открытым.

Лучшие практики управления связанными оповещениями и проблемами

          **Чётко отслеживайте ход рекультивации.** Когда вы фиксируете исправление, добавьте комментарий к связанной проблеме, отметив, что код обновлён. После следующего code scanning запуска, когда оповещение закрыто, закройте проблему вручную.

          **Используйте ярлыки для отображения статуса.** Создайте метки проблемы, такие как «code-fixed-awaiting-scan» или используйте поля проекта, чтобы указать, когда уязвимость устранена, но она ждёт окончательной проверки и завершения.

          **Распределите ответственность.** Используйте задачных назначенцев, чтобы ясно объяснить, кому принадлежит работа по устранению проблем, особенно когда команды безопасности и разработки должны координировать свою деятельность.