Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Nachverfolgen von Codeüberprüfungswarnungen in Issues anhand von Aufgabenlisten

Du kannst Codescanbenachrichtigungen mithilfe von Aufgabenlisten zu Issues hinzufügen. Dies erleichtert das Erstellen eines Plans für entwicklungsbezogene Arbeiten, der das Beheben von Warnungen umfasst.

Who can use this feature

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Code scanning ist auch für private organisationseigene Repositorys verfügbar, die GitHub Enterprise Cloud nutzen und im Besitz einer Lizenz für GitHub Advanced Security sind. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Hinweis: Die Nachverfolgung von code scanning-Warnungen in Issues befindet sich in der Betaversion und kann noch geändert werden.

Dieses Feature unterstützt die native Ausführung der Analyse mithilfe von GitHub Actions oder die externe Ausführung der Analyse über die vorhandene CI/CD-Infrastruktur sowie code scanning-Tools von Drittanbietern, aber keine Drittanbietertools zur Nachverfolgung.

Informationen zum Nachverfolgen von code scanning-Warnungen in Issues

Code scanning-Warnungen werden in Aufgabenlisten in GitHub Issues integriert, damit du Warnungen ganz einfach in deiner gesamten Entwicklungsarbeit priorisieren und nachverfolgen kannst. Weitere Informationen zu Issues findest du unter Informationen zu Issues.

Um eine Codescanwarnung in einem Issue nachzuverfolgen, füge die URL für die Warnung als Aufgabenlistenelement im Issue hinzu. Weitere Informationen zu Aufgabenlisten findest du unter Informationen zu Aufgabenlisten.

Du kannst auch ein neues Issue erstellen, um eine Warnung nachzuverfolgen:

  • Aus einer code scanning-Warnung, die die Codeüberprüfungswarnung automatisch einer Aufgabenliste im neuen Issue hinzufügt. Weitere Informationen findest du im Folgenden unter Erstellen eines Nachverfolgungsissues aus einer code scanning-Warnung.

  • Wie gewohnt über die API, indem du den Codeüberprüfungslink im Text des Issues angibst. Du musst die Syntax für Aufgabenlisten verwenden, um die nachverfolgte Beziehung zu erstellen:

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • Wenn du beispielsweise - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 einem Issue hinzufügst, verfolgt das Issue die Codeüberprüfungswarnung mit der ID-Nummer 17 auf der Registerkarte Sicherheit des Repositorys octocat-repo in der Organisation octocat-org.

Du kannst mehrere Issues verwenden, um dieselbe code scanning-Warnung nachzuverfolgen, und Issues können zu verschiedenen Repositorys aus dem Repository gehören, bei dem die code scanning-Warnung festgestellt wurde.

GitHub bietet visuelle Hinweise an verschiedenen Stellen der Benutzeroberfläche, um anzugeben, dass du code scanning-Warnungen in Issues nachverfolgst.

  • Auf der Seite mit der Liste der Codeüberprüfungswarnungen wird angezeigt, welche Warnungen in Issues nachverfolgt werden, sodass du auf einen Blick sehen kannst, welche Warnungen noch verarbeitet werden müssen.

    Ovales Feld „Nachverfolgt in“ auf der Seite mit Codeüberprüfungswarnungen

  • Ein Abschnitt „Nachverfolgt in“ wird auch auf der entsprechenden Warnungsseite angezeigt.

    Abschnitt „Nachverfolgt in“ auf der Seite mit Codeüberprüfungswarnungen

  • Im Nachverfolgungsissue zeigt GitHub ein Sicherheitsbadgesymbol in der Aufgabenliste und auf der Hoverkarte an.

    Nur Benutzer mit Schreibberechtigungen für das Repository sehen die vollständig erweiterte URL für die Warnung im Issue sowie die Hoverkarte. Für Benutzer mit Leseberechtigungen für das Repository oder für Benutzer ohne Berechtigungen wird die Warnung als einfache URL angezeigt.

    Die Farbe des Symbols ist grau, weil eine Warnung für jeden Branch den Status „geöffnet“ oder „geschlossen“ aufweist. Das Issue verfolgt eine Warnung, daher kann die Warnung nicht über einen einzelnen geöffneten/geschlossenen Zustand im Issue verfügen. Wenn die Warnung für einen Branch geschlossen wird, ändert sich die Symbolfarbe nicht.

    Hoverkarte im nachverfolgenden Issue

Der Status der nachverfolgten Warnung ändert sich nicht, wenn du den Kontrollkästchenzustand des entsprechenden Elements in der Aufgabenliste (aktiviert/deaktiviert) im Issue änderst.

Erstellen eines Nachverfolgungsissues aus einer Codeüberprüfungswarnung

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Sicherheit. Registerkarte „Sicherheit“ 1. Klicke auf der linken Randleiste auf Codeüberprüfungswarnungen. Registerkarte „Codeüberprüfungswarnungen“ 1. Klicke unter "Code scanning" auf die Warnung, die du dir näher ansehen möchtest.

  2. Um die nachzuverfolgende Warnung zu finden, kannst du optional die Freitextsuche oder die Dropdownmenüs zum Filtern und Suchen der Warnung verwenden. Weitere Informationen findest du unter Verwalten von Codeüberprüfungswarnungen für dein Repository.

  3. Klicke oben rechts auf der Seite auf Issue erstellen. Erstellen eines Nachverfolgungsissues für die Codeüberprüfungswarnung GitHub erstellt automatisch ein Issue zum Nachverfolgen der Warnung und fügt die Warnung als Aufgabenlistenelement hinzu. GitHub füllt das Issue im Voraus auf:

    • Der Titel enthält den Namen der code scanning-Warnung.
    • Der Text enthält das Aufgabenlistenelement mit der vollständigen URL zur code scanning-Warnung.
  4. Bearbeite optional den Titel und den Text des Issues.

    Warnung: Du solltest den Titel des Issues bearbeiten, weil darin möglicherweise sicherheitsrelevante Informationen offengelegt werden. Du kannst auch den Text des Issues bearbeiten. Ändere jedoch nicht das Aufgabenlistenelement, weil das Issue die Warnung dann nicht mehr nachverfolgt.

    Neues Nachverfolgungsissue für die Codeüberprüfungswarnung

  5. Klicke auf Neues Issue übermitteln.