Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
GitHub AE ist derzeit begrenzt freigegeben.
All products
Codesicherheit

Nachverfolgen von Codeüberprüfungswarnungen in Issues anhand von Aufgabenlisten

In diesem Artikel

Du kannst Codescanbenachrichtigungen mithilfe von Aufgabenlisten zu Issues hinzufügen. Dies erleichtert das Erstellen eines Plans für entwicklungsbezogene Arbeiten, der das Beheben von Warnungen umfasst.

Wer kann dieses Feature verwenden?

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning ist für organisationseigene Repositorys in GitHub AE verfügbar. Dies ist ein GitHub Advanced Security-Feature (kostenlos während der Betaphase). Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Hinweis: Die Nachverfolgung von code scanning-Warnungen in Issues befindet sich in der Betaversion und kann noch geändert werden.

Dieses Feature unterstützt die native Ausführung der Analyse mithilfe von GitHub Actions oder die externe Ausführung der Analyse über die vorhandene CI/CD-Infrastruktur sowie code scanning-Tools von Drittanbietern, aber keine Drittanbietertools zur Nachverfolgung.

Informationen zum Nachverfolgen von code scanning-Warnungen in Issues

Code scanning -Warnungen werden in Aufgabenlisten mit GitHub Issues integriert, damit du Warnungen ganz einfach in deiner gesamten Entwicklungsarbeit priorisieren und nachverfolgen kannst. Weitere Informationen zu Issues findest du unter Informationen zu Issues.

Um eine Codescanwarnung in einem Issue nachzuverfolgen, füge die URL für die Warnung als Aufgabenlistenelement im Issue hinzu. Weitere Informationen zu Aufgabenlisten findest du unter Informationen zu Aufgabenlisten.

Du kannst auch ein neues Issue erstellen, um eine Warnung nachzuverfolgen:

  • Aus einer code scanning-Warnung, die die Codeüberprüfungswarnung automatisch einer Aufgabenliste im neuen Issue hinzufügt. Weitere Informationen findest du im Folgenden unter Erstellen eines Nachverfolgungsissues aus einer code scanning-Warnung.

  • Wie gewohnt über die API, indem du den Codeüberprüfungslink im Text des Issues angibst. Du musst die Syntax für Aufgabenlisten verwenden, um die nachverfolgte Beziehung zu erstellen:

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • Wenn du beispielsweise - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 einem Issue hinzufügst, verfolgt das Issue die Codeüberprüfungswarnung mit der ID-Nummer 17 auf der Registerkarte Sicherheit des Repositorys octocat-repo in der Organisation octocat-org.

Du kannst mehrere Issues verwenden, um dieselbe code scanning-Warnung nachzuverfolgen, und Issues können zu verschiedenen Repositorys aus dem Repository gehören, bei dem die code scanning-Warnung festgestellt wurde.

GitHub AE bietet visuelle Hinweise an verschiedenen Stellen der Benutzeroberfläche, um anzugeben, dass du code scanning-Warnungen in Issues nachverfolgst.

  • Auf der Seite mit der Liste der Codeüberprüfungswarnungen wird angezeigt, welche Warnungen in Issues nachverfolgt werden, sodass du auf einen Blick sehen kannst, welche Warnungen noch verarbeitet werden müssen.

    Ovales Feld „Nachverfolgt in“ auf der Seite mit Codeüberprüfungswarnungen

  • Ein Abschnitt „Nachverfolgt in“ wird auch auf der entsprechenden Warnungsseite angezeigt.

    Abschnitt „Nachverfolgt in“ auf der Seite mit Codeüberprüfungswarnungen

  • Im Nachverfolgungsissue zeigt GitHub ein Sicherheitsbadgesymbol in der Aufgabenliste und auf der Hoverkarte an.

    Nur Benutzer mit Schreibberechtigungen für das Repository sehen die vollständig erweiterte URL für die Warnung im Issue sowie die Hoverkarte. Für Benutzer mit Leseberechtigungen für das Repository oder für Benutzer ohne Berechtigungen wird die Warnung als einfache URL angezeigt.

    Die Farbe des Symbols ist grau, weil eine Warnung für jeden Branch den Status „geöffnet“ oder „geschlossen“ aufweist. Das Issue verfolgt eine Warnung, daher kann die Warnung nicht über einen einzelnen geöffneten/geschlossenen Zustand im Issue verfügen. Wenn die Warnung für einen Branch geschlossen wird, ändert sich die Symbolfarbe nicht.

    Hoverkarte im nachverfolgenden Issue

Der Status der nachverfolgten Warnung ändert sich nicht, wenn du den Kontrollkästchenzustand des entsprechenden Elements in der Aufgabenliste (aktiviert/deaktiviert) im Issue änderst.

Erstellen eines Nachverfolgungsissues aus einer Codeüberprüfungswarnung

  1. Navigiere auf dein Unternehmen zur Hauptseite des Repositorys. 1. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus. Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet. 1. Klicke auf der linken Randleiste auf Codeüberprüfungswarnungen. 1. Klicke unter „Code scanning“ auf die Warnung, die du dir näher ansehen möchtest.

  2. Um die nachzuverfolgende Warnung zu finden, kannst du optional die Freitextsuche oder die Dropdownmenüs zum Filtern und Suchen der Warnung verwenden. Weitere Informationen finden Sie unter Verwalten von Codescanwarnungen für dein Repository.

  3. Klicke oben rechts auf der Seite auf Issue erstellen. Erstellen eines Nachverfolgungsissues für die Codeüberprüfungswarnung GitHub erstellt automatisch ein Issue zum Nachverfolgen der Warnung und fügt die Warnung als Aufgabenlistenelement hinzu. GitHub füllt das Issue im Voraus auf:

    • Der Titel enthält den Namen der code scanning-Warnung.
    • Der Text enthält das Aufgabenlistenelement mit der vollständigen URL zur code scanning-Warnung.

  4. Bearbeite optional den Titel und den Text des Issues.

    Warnung: Du solltest den Titel des Issues bearbeiten, weil darin möglicherweise sicherheitsrelevante Informationen offengelegt werden. Du kannst auch den Text des Issues bearbeiten. Ändere jedoch nicht das Aufgabenlistenelement, weil das Issue die Warnung dann nicht mehr nachverfolgt.

    Neues Nachverfolgungsissue für die Codeüberprüfungswarnung

  5. Klicke auf Neues Issue übermitteln.