Nota: El seguimiento de las alertas de code scanning se encuentra en versión preliminar pública y está sujeto a cambios.
Esta característica es compatible con la ejecución nativa de análisis mediante GitHub Actions o de forma externa mediante la infraestructura de CI/CD existente, así como herramientas de code scanning de terceros, pero no herramientas de seguimiento de terceros.
Acerca de rastrear alertas del code scanning en las propuestas
Las alertas de Code scanning se integran con listas de tareas en GitHub Issues para facilitar el proceso de priorizar y rastrear alertas con todo tu trabajo de desarrollo. Para rastrear una alerta de code scanning en un problema existente, agrega la URL para la alerta como un elemento de la lista de tareas en el problema. Para obtener más información sobre las listas de tareas, consulta "Acerca de las listas de tareas".
También puedes crear de manera rápida una incidencia nueva para rastrear una alerta:
- Desde una alerta de code scanning. Para más información, vea "Creación de una incidencia de seguimiento a partir de una alerta de code scanning".
- Desde la API. Para obtener más información, consulta "Crear una incidencia de seguimiento desde la API".
Ahora puedes utilizar más de una propuesta para rastrear la misma alerta del code scanning y las propuestas pueden pertenecer a repositorios diferentes de aquél en donde se encontró la alerta del code scanning.
GitHub Enterprise Cloud proporciona indicaciones visuales en diversas ubicaciones de la interfaz de usuario para indicar cuando estás rastreando alertas del code scanning en las propuestas.
-
La página de lista de alertas de code scanning mostrará qué alertas se rastrean en las incidencias para que puedas ver rápidamente qué alertas aún requieren procesamiento y cómo se realiza un seguimiento de las incidencias.
-
También se mostrará una sección de "rastreados" en la página de la alerta correspondiente.
-
En la propuesta rastreadora, GitHub mostrará un icono de insignia de seguridad en la lista de tareas y en la tarjeta de visita virtual.
Únicamente los usuarios con permisos de escritura en el repositorio verán la URL completa para la alerta en la propuesta, así como en la tarjeta de visita virtual. Para los usuarios con permisos de lectura en el repositorio, o aquellos sin ningún permiso, la alerta aparecerá como una URL simple.
El color del icono es gris porque alguna alerta tiene el estado de "abierta" o "cerrada" en cada rama. Esta propuesta rastrea una alerta para que esta no pueda tener ningún estado de abierto/cerrado en la propuesta. Si la alerta se cierra en una de las ramas, el color del icono no cambiará.
El estado de la alerta rastreada no cambiará si cambias el estado de la casilla de verificación del elemento de la lista de tareas correspondiente (marcado/sin marcar) en la propuesta.
Crear una incidencia de seguimiento
En lugar de realizar un seguimiento de una alerta de code scanning en un problema existente, puedes crear una incidencia para realizar un seguimiento directo de una alerta. Puedes crear incidencias de seguimiento para las alertas de code scanning desde la propia alerta o desde la API.
Crear una incidencia de seguimiento desde una alerta de code scanning
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
-
En la barra lateral izquierda, haz clic en Code scanning.
-
Debajo de "Code scanning", haz clic en la alerta que quieras explorar para mostrar la página de alerta detallada.
-
Opcionalmente, para encontrar la alerta a rastrear, puedes utilizar la búsqueda de texto libre o los menús desplegables para filtrar y ubicar la alerta. Para obtener más información, vea «Evaluación de alertas de análisis de código para el repositorio».
-
En la parte superior de la página, en el lado derecho, haga clic en Crear incidencia.
GitHub crea automáticamente una incidencia para realizar un seguimiento de la alerta y agrega la alerta como elemento de lista de tareas. GitHub llena la propuesta previamente:
- El título contiene el nombre de la alerta del code scanning.
- El cuerpo contiene el elemento de la lista de tareas con la URL completa para la alerta del code scanning.
-
Opcionalmente, edita el título y el cuerpo de la propuesta.
Advertencia: Es posible que quiera editar el título de la incidencia, ya que puede exponer información de seguridad. También puede editar el cuerpo de la incidencia. Asegúrese de mantener el elemento de lista de tareas con un vínculo a la alerta; de lo contrario, la incidencia ya no realizará el seguimiento de la alerta.
-
Haga clic en Enviar nueva incidencia.
Crear una incidencia de seguimiento desde la API
-
Comienza a crear una incidencia a través de la API. Para más información, consulta "Crear una incidencia".
-
Proporciona el vínculo de análisis de código dentro del cuerpo de la incidencia. Debes utilizar la siguiente sintaxis de lista de tareas para crear la relación rastreada:
- [ ] FULL-URL-TO-THE-CODE-SCANNING-ALERT
.Por ejemplo, si agregas
- [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17
a una incidencia, la incidencia realizará el seguimiento de la alerta de code scanning que tiene un número de identificador de 17 en la pestaña Seguridad del repositoriooctocat-repo
en la organizaciónoctocat-org
.