Skip to main content

Rastrear alertas del escaneo de código en propuestas utilizando listas de tareas

Puedes agregar alertas de escaneo de código a las propuestas utilizando listas de tareas. Esto facilita el crear un plan para trabajo de desarrollo que incluya la corrección de alertas.

¿Quién puede utilizar esta característica?

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning está disponible para todos los repositorios públicos en GitHub.com. Code scanning también está disponible para los repositorios privados que pertenecen a las organizaciones que usan GitHub Enterprise Cloud y que tienen una licencia de GitHub Advanced Security. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Nota: El seguimiento de las alertas de code scanning se encuentra en beta y está sujeto a cambios.

Esta característica es compatible con la ejecución nativa de análisis mediante GitHub Actions o de forma externa mediante la infraestructura de CI/CD existente, así como herramientas de code scanning de terceros, pero no herramientas de seguimiento de terceros.

Acerca de rastrear alertas del code scanning en las propuestas

Las alertas de Code scanning se integran con listas de tareas en GitHub Issues para facilitar el proceso de priorizar y rastrear alertas con todo tu trabajo de desarrollo. Para rastrear una alerta de code scanning en un problema existente, agrega la URL para la alerta como un elemento de la lista de tareas en el problema. Para obtener más información sobre las listas de tareas, consulta "Acerca de las listas de tareas".

También puedes crear de manera rápida una incidencia nueva para rastrear una alerta:

Ahora puedes utilizar más de una propuesta para rastrear la misma alerta del code scanning y las propuestas pueden pertenecer a repositorios diferentes de aquél en donde se encontró la alerta del code scanning.

GitHub proporciona indicaciones visuales en diversas ubicaciones de la interfaz de usuario para indicar cuando estás rastreando alertas del code scanning en las propuestas.

  • La página de lista de alertas de code scanning mostrará qué alertas se rastrean en las incidencias para que puedas ver rápidamente qué alertas aún requieren procesamiento y cómo se realiza un seguimiento de las incidencias.

    Captura de pantalla de la vista de alertas de code scanning. La primera entrada incluye el icono de la incidencia seguido del número 2. La tercer entrada incluye el icono de la incidencia seguido del número 1. Ambas se destacan con un contorno naranja.

  • También se mostrará una sección de "rastreados" en la página de la alerta correspondiente.

    Captura de pantalla de una alerta de code scanning. En el título de la alerta, "Rastreado por n.º 1, n.º 2" se destaca en naranja oscuro.

  • En la propuesta rastreadora, GitHub mostrará un icono de insignia de seguridad en la lista de tareas y en la tarjeta de visita virtual.

    Únicamente los usuarios con permisos de escritura en el repositorio verán la URL completa para la alerta en la propuesta, así como en la tarjeta de visita virtual. Para los usuarios con permisos de lectura en el repositorio, o aquellos sin ningún permiso, la alerta aparecerá como una URL simple.

    El color del icono es gris porque alguna alerta tiene el estado de "abierta" o "cerrada" en cada rama. Esta propuesta rastrea una alerta para que esta no pueda tener ningún estado de abierto/cerrado en la propuesta. Si la alerta se cierra en una de las ramas, el color del icono no cambiará.

    Captura de pantalla que muestra una incidencia que realiza un seguimiento de una alerta de code scanning. Se muestra la tarjeta de desplazamiento de la alerta, con un icono de notificación de seguridad gris que precede al título.

El estado de la alerta rastreada no cambiará si cambias el estado de la casilla de verificación del elemento de la lista de tareas correspondiente (marcado/sin marcar) en la propuesta.

Crear una incidencia de seguimiento

En lugar de realizar un seguimiento de una alerta de code scanning en un problema existente, puedes crear una incidencia para realizar un seguimiento directo de una alerta. Puedes crear incidencias de seguimiento para las alertas de code scanning desde la propia alerta o desde la API.

Crear una incidencia de seguimiento desde una alerta de code scanning

  1. En GitHub.com, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad. Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Code scanning.

  4. Debajo de "Code scanning", haz clic en la alerta que quieras explorar para mostrar la página de alerta detallada.

  5. Opcionalmente, para encontrar la alerta a rastrear, puedes utilizar la búsqueda de texto libre o los menús desplegables para filtrar y ubicar la alerta. Para obtener más información, consulta "Administración de alertas de examen de código para el repositorio".

  6. En la parte superior de la página, en el lado derecho, haga clic en Crear incidencia.

    Captura de pantalla de una alerta de code scanning. El botón "Crear incidencia" aparece resaltado en naranja oscuro.

    GitHub crea automáticamente una incidencia para realizar un seguimiento de la alerta y agrega la alerta como elemento de lista de tareas. GitHub llena la propuesta previamente:

    • El título contiene el nombre de la alerta del code scanning.
    • El cuerpo contiene el elemento de la lista de tareas con la URL completa para la alerta del code scanning.
  7. Opcionalmente, edita el título y el cuerpo de la propuesta.

    Advertencia: Es posible que quiera editar el título de la incidencia, ya que puede exponer información de seguridad. También puede editar el cuerpo de la incidencia. Asegúrese de mantener el elemento de lista de tareas con un vínculo a la alerta; de lo contrario, la incidencia ya no realizará el seguimiento de la alerta.

  8. Haga clic en Enviar nueva incidencia.

Crear una incidencia de seguimiento desde la API

  1. Comienza a crear una incidencia a través de la API. Para más información, consulta "Crear una incidencia".

  2. Proporciona el vínculo de análisis de código dentro del cuerpo de la incidencia. Debes utilizar la siguiente sintaxis de lista de tareas para crear la relación rastreada: - [ ] FULL-URL-TO-THE-CODE-SCANNING-ALERT.

    Por ejemplo, si agregas - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 a una incidencia, la incidencia realizará el seguimiento de la alerta de code scanning que tiene un número de identificador de 17 en la pestaña Seguridad del repositorio octocat-repo en la organización octocat-org.