Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.
All products
Seguridad de código

Rastrear alertas del escaneo de código en propuestas utilizando listas de tareas

En este artículo

Puedes agregar alertas de escaneo de código a las propuestas utilizando listas de tareas. Esto facilita el crear un plan para trabajo de desarrollo que incluya la corrección de alertas.

Quién puede usar esta característica

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning está disponible para todos los repositorios públicos en GitHub.com. Code scanning también está disponible para los repositorios privados que pertenecen a las organizaciones que usan GitHub Enterprise Cloud y que tienen una licencia de GitHub Advanced Security. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Nota: El seguimiento de las alertas de code scanning se encuentra en beta y está sujeto a cambios.

Esta característica es compatible con la ejecución nativa de análisis mediante GitHub Actions o de forma externa mediante la infraestructura de CI/CD existente, así como herramientas de code scanning de terceros, pero no herramientas de seguimiento de terceros.

Acerca de rastrear alertas del code scanning en las propuestas

Las alertas de Code scanning se integran con listas de tareas en GitHub Issues para facilitar el proceso de priorizar y rastrear alertas con todo tu trabajo de desarrollo. Para más información sobre las propuestas, consulta "Acerca de las propuestas".

Para rastrear una alerta de escaneo de código en una propuesta, agrega la URL para la alerta como un elemento de la lista de tareas en la propuesta. Para obtener más información sobre las listas de tareas, consulta "Acerca de las listas de tareas".

También puedes crear una propuesta nueva para rastrear una alerta:

  • Desde una alerta del code scanning, la cual agregue dicha alerta automáticamente a una lista de tareas en la propuesta nueva. Para más información, vea "Creación de una incidencia de seguimiento a partir de una alerta de code scanning" a continuación.

  • A través de la API, como normalmente lo harías y luego, proporciona el enlace del escaneo de código dentro del cuerpo de la propuesta. Debes utilizar la siguiente sintaxis de lista de tareas para crear la relación rastreada:

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • Por ejemplo, si agregas - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 a una incidencia, la incidencia realizará el seguimiento de la alerta de análisis de código que tiene un número de identificador de 17 en la pestaña Seguridad del repositorio octocat-repo en la organización octocat-org.

Ahora puedes utilizar más de una propuesta para rastrear la misma alerta del code scanning y las propuestas pueden pertenecer a repositorios diferentes de aquél en donde se encontró la alerta del code scanning.

GitHub proporciona indicaciones visuales en diversas ubicaciones de la interfaz de usuario para indicar cuando estás rastreando alertas del code scanning en las propuestas.

  • La página de lista de alertas del escaneo de código mostrará qué alertas se rastrean en las incidencias para que puedas ver rápidamente qué alertas aún requieren procesamiento y cómo se realiza un seguimiento de las incidencias.

    Captura de pantalla de la vista de alertas de code scanning. La primera entrada incluye el icono de la incidencia seguido del número 2. La tercer entrada incluye el icono de la incidencia seguido del número 1. Ambas se destacan con un contorno naranja.

  • También se mostrará una sección de "rastreados" en la página de la alerta correspondiente.

    Captura de pantalla de una alerta de code scanning. En el título de la alerta, "Rastreado por n.º 1, n.º 2" se destaca en naranja oscuro.

  • En la propuesta rastreadora, GitHub mostrará un icono de insignia de seguridad en la lista de tareas y en la tarjeta de visita virtual.

    Únicamente los usuarios con permisos de escritura en el repositorio verán la URL completa para la alerta en la propuesta, así como en la tarjeta de visita virtual. Para los usuarios con permisos de lectura en el repositorio, o aquellos sin ningún permiso, la alerta aparecerá como una URL simple.

    El color del icono es gris porque alguna alerta tiene el estado de "abierta" o "cerrada" en cada rama. Esta propuesta rastrea una alerta para que esta no pueda tener ningún estado de abierto/cerrado en la propuesta. Si la alerta se cierra en una de las ramas, el color del icono no cambiará.

    Captura de pantalla que muestra una incidencia que realiza un seguimiento de una alerta de code scanning. Se muestra la tarjeta de desplazamiento de la alerta, con un icono de notificación de seguridad gris que precede al título.

El estado de la alerta rastreada no cambiará si cambias el estado de la casilla de verificación del elemento de la lista de tareas correspondiente (marcado/sin marcar) en la propuesta.

Crear una propuesta rastreadora desde una alerta de escaneo de código

  1. En GitHub.com, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad. Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro. 1. En la barra lateral izquierda, haga clic en Code scanning alerts (Alertas de análisis de código). 1. Debajo de "Code scanning", haz clic en la alerta que quieras explorar.

  2. Opcionalmente, para encontrar la alerta a rastrear, puedes utilizar la búsqueda de texto libre o los menús desplegables para filtrar y ubicar la alerta. Para obtener más información, vea «Administración de alertas de examen de código para el repositorio».

  3. En la parte superior de la página, en el lado derecho, haga clic en Crear incidencia.

    Captura de pantalla de una alerta de code scanning. El botón "Crear incidencia" aparece resaltado en naranja oscuro.

    GitHub crea automáticamente una incidencia para realizar un seguimiento de la alerta y agrega la alerta como elemento de lista de tareas. GitHub llena la propuesta previamente:

    • El título contiene el nombre de la alerta del code scanning.
    • El cuerpo contiene el elemento de la lista de tareas con la URL completa para la alerta del code scanning.

  4. Opcionalmente, edita el título y el cuerpo de la propuesta.

    Advertencia: Es posible que quiera editar el título de la incidencia, ya que puede exponer información de seguridad. También puede editar el cuerpo de la incidencia. Asegúrese de mantener el elemento de lista de tareas con un vínculo a la alerta; de lo contrario, la incidencia ya no realizará el seguimiento de la alerta.

  5. Haga clic en Enviar nueva incidencia.