Nachverfolgen von Codeüberprüfungswarnungen in Issues anhand von Aufgabenlisten

Du kannst Codescanbenachrichtigungen mithilfe von Aufgabenlisten zu Issues hinzufügen. Dies erleichtert das Erstellen eines Plans für entwicklungsbezogene Arbeiten, der das Beheben von Warnungen umfasst.

Wer kann dieses Feature verwenden?

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Code scanning ist auch für private organisationseigene Repositorys verfügbar, die GitHub Enterprise Cloud nutzen und im Besitz einer Lizenz für GitHub Advanced Security sind. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

In diesem Artikel

Hinweis: Die Nachverfolgung von code scanning-Warnungen in Issues befindet sich in der Betaversion und kann noch geändert werden.

Dieses Feature unterstützt die native Ausführung der Analyse mithilfe von GitHub Actions oder die externe Ausführung der Analyse über die vorhandene CI/CD-Infrastruktur sowie code scanning-Tools von Drittanbietern, aber keine Drittanbietertools zur Nachverfolgung.

Informationen zum Nachverfolgen von code scanning-Warnungen in Issues

Code scanning-Warnungen werden in Aufgabenlisten mit GitHub Issues integriert, damit du Warnungen in deiner gesamten Entwicklungsarbeit priorisieren und nachverfolgen kannst. Um eine code scanning-Warnung in einem vorhandenen Issue nachzuverfolgen, füge die URL für die Warnung als Aufgabenlistenelement im Issue hinzu. Weitere Informationen zu Aufgabenlisten findest du unter Informationen zu Aufgabenlisten.

Du kannst auch schnell ein neues Issue erstellen, um eine Warnung nachzuverfolgen:

Du kannst mehrere Issues verwenden, um dieselbe code scanning-Warnung nachzuverfolgen, und Issues können zu verschiedenen Repositorys aus dem Repository gehören, bei dem die code scanning-Warnung festgestellt wurde.

GitHub bietet visuelle Hinweise an verschiedenen Stellen der Benutzeroberfläche, um anzugeben, dass du code scanning-Warnungen in Issues nachverfolgst.

  • Auf der Seite mit der Liste der code scanning-Warnungen wird angezeigt, welche Warnungen in Issues nachverfolgt werden, sodass du auf einen Blick sehen kannst, welchen Warnungen noch nachgegangen werden muss und in wie vielen Issues diese nachverfolgt werden.

    Screenshot: Ansicht mit den code scanningswarnungen. Der erste Eintrag enthält das Issuesymbol gefolgt von der Zahl 2. Der dritte Eintrag enthält das Issuesymbol gefolgt von der Zahl 1. Beide sind dunkelorange umrandet.

  • Ein Abschnitt „Nachverfolgt in“ wird auch auf der entsprechenden Warnungsseite angezeigt.

    Screenshot: code scanningswarnung. Unter dem Warnungstitel ist „Nachverfolgt in #1, #2“ dunkelorange umrandet.

  • Im Nachverfolgungsissue zeigt GitHub ein Sicherheitsbadgesymbol in der Aufgabenliste und auf der Hoverkarte an.

    Nur Benutzer mit Schreibberechtigungen für das Repository sehen die vollständig erweiterte URL für die Warnung im Issue sowie die Hoverkarte. Für Benutzer mit Leseberechtigungen für das Repository oder für Benutzer ohne Berechtigungen wird die Warnung als einfache URL angezeigt.

    Die Farbe des Symbols ist grau, weil eine Warnung für jeden Branch den Status „geöffnet“ oder „geschlossen“ aufweist. Das Issue verfolgt eine Warnung, daher kann die Warnung nicht über einen einzelnen geöffneten/geschlossenen Zustand im Issue verfügen. Wenn die Warnung für einen Branch geschlossen wird, ändert sich die Symbolfarbe nicht.

    Screenshot eines Issues, das eine code scanningswarnung nachverfolgt. In der Hovercard für die Warnung wird ein graues Sicherheitswappen vor dem Titel angezeigt.

Der Status der nachverfolgten Warnung ändert sich nicht, wenn du den Kontrollkästchenzustand des entsprechenden Elements in der Aufgabenliste (aktiviert/deaktiviert) im Issue änderst.

Erstellen eines Nachverfolgungsissues

Anstatt eine code scanning-Warnung in einem vorhandenen Issue zu verfolgen, kannst du ein neues Issue erstellen, um eine Warnung direkt nachzuverfolgen. Du kannst Nachverfolgungsissues für code scanning-Warnungen aus der Warnung selbst oder aus der API erstellen.

Erstellen einer Nachverfolgung aus einer code scanning-Warnung

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicken Sie in der Randleiste auf Code scanning.

  4. Klicke unter „Code scanning“ auf die Warnung, die du dir näher ansehen möchtest, um die Seite mit den detaillierten Warnungsinformationen anzuzeigen.

  5. Um die nachzuverfolgende Warnung zu finden, kannst du optional die Freitextsuche oder die Dropdownmenüs zum Filtern und Suchen der Warnung verwenden. Weitere Informationen findest du unter Verwalten von Codescanwarnungen für dein Repository.

  6. Klicke oben rechts auf der Seite auf Issue erstellen.

    Screenshot: code scanningswarnung. Die Schaltfläche „Issue erstellen“ ist dunkelorange umrandet.

    GitHub erstellt automatisch ein Issue, um die Warnung nachzuverfolgen, und fügt die Warnung als Aufgabenlistenelement hinzu. GitHub füllt das Issue im Voraus auf:

    • Der Titel enthält den Namen der code scanning-Warnung.
    • Der Text enthält das Aufgabenlistenelement mit der vollständigen URL zur code scanning-Warnung.

  7. Bearbeite optional den Titel und den Text des Issues.

    Warnung: Du solltest den Titel des Issues bearbeiten, weil darin möglicherweise sicherheitsrelevante Informationen offengelegt werden. Du kannst auch den Text des Issues bearbeiten. Verlinke das Aufgabenlistenelement mit der Warnung, da das Issue die Warnung andernfalls nicht nachverfolgen kann.

  8. Klicke auf Neues Issue übermitteln.

Erstellen eines Nachverfolgungsissues aus der API

  1. Beginne mit dem Erstellen eines Issues über die API. Weitere Informationen findest du unter „Issue erstellen“.

  2. Stelle den Codeüberprüfungslink im Textkörper des Issues bereit. Du musst die folgende Syntax für Aufgabenlisten verwenden, um die nachverfolgte Beziehung zu erstellen: - [ ] FULL-URL-TO-THE-CODE-SCANNING-ALERT.

    Wenn du beispielsweise - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 einem Issue hinzufügst, verfolgt das Issue die code scanning-Warnung mit der ID-Nummer 17 auf der Registerkarte Sicherheit des Repositorys octocat-repo in der Organisation octocat-org.