Skip to main content

Rastrear alertas del escaneo de código en propuestas utilizando listas de tareas

Puedes agregar alertas de escaneo de código a las propuestas utilizando listas de tareas. Esto facilita el crear un plan para trabajo de desarrollo que incluya la corrección de alertas.

Who can use this feature

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning está disponible para repositorios que son propiedad de una organización en GitHub AE. Esta es una característica de la GitHub Advanced Security (gratuita durante el lanzamiento beta). Para más información, consulte "Acerca de GitHub Advanced Security".

Nota: El seguimiento de las alertas de code scanning se encuentra en beta y está sujeto a cambios.

Esta característica es compatible con la ejecución nativa de análisis mediante GitHub Actions o de forma externa mediante la infraestructura de CI/CD existente, así como herramientas de code scanning de terceros, pero no herramientas de seguimiento de terceros.

Acerca de rastrear alertas del code scanning en las propuestas

Las alertas del Code scanning se integran con listas de tareas en GitHub Issues para facilitarte el priorizar y rastrear alertas con todo tu trabajo de desarrollo. Para más información sobre las incidencias, vea "Acerca de las incidencias".

Para rastrear una alerta de escaneo de código en una propuesta, agrega la URL para la alerta como un elemento de la lista de tareas en la propuesta. Para más información sobre las listas de tareas incidencias, vea "Acerca de las listas de tareas".

También puedes crear una propuesta nueva para rastrear una alerta:

  • Desde una alerta del code scanning, la cual agregue dicha alerta automáticamente a una lista de tareas en la propuesta nueva. Para más información, vea "Creación de una incidencia de seguimiento a partir de una alerta de code scanning" a continuación.

  • A través de la API, como normalmente lo harías y luego, proporciona el enlace del escaneo de código dentro del cuerpo de la propuesta. Debes utilizar la siguiente sintaxis de lista de tareas para crear la relación rastreada:

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • Por ejemplo, si agrega - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 a una incidencia, la incidencia realizará el seguimiento de la alerta de análisis de código que tiene un número de identificador de 17 en la pestaña "Seguridad" del repositorio octocat-repo en la organización octocat-org.

Ahora puedes utilizar más de una propuesta para rastrear la misma alerta del code scanning y las propuestas pueden pertenecer a repositorios diferentes de aquél en donde se encontró la alerta del code scanning.

GitHub AE proporciona indicaciones visuales en diversas ubicaciones de la interfaz de usuario para indicar cuando estás rastreando alertas del code scanning en las propuestas.

  • La página de lista de alertas del escaneo de código mostrará qué alertas se rastrean en las propuestas para que puedas ver rápidamente qué alertas aún requieren procesamiento.

    Píldora rastreada en la página de alerta del escaneo de código

  • También se mostrará una sección de "rastreados" en la página de la alerta correspondiente.

    Sección de seguimiento en la página de alertas de análisis de código

  • En la propuesta rastreadora, GitHub mostrará un icono de insignia de seguridad en la lista de tareas y en la tarjeta de visita virtual.

    Únicamente los usuarios con permisos de escritura en el repositorio verán la URL completa para la alerta en la propuesta, así como en la tarjeta de visita virtual. Para los usuarios con permisos de lectura en el repositorio, o aquellos sin ningún permiso, la alerta aparecerá como una URL simple.

    El color del icono es gris porque alguna alerta tiene el estado de "abierta" o "cerrada" en cada rama. Esta propuesta rastrea una alerta para que esta no pueda tener ningún estado de abierto/cerrado en la propuesta. Si la alerta se cierra en una de las ramas, el color del icono no cambiará.

    Tarjeta de visita virtual en la propuesta rastreadora

El estado de la alerta rastreada no cambiará si cambias el estado de la casilla de verificación del elemento de la lista de tareas correspondiente (marcado/sin marcar) en la propuesta.

Crear una propuesta rastreadora desde una alerta de escaneo de código

  1. En your enterprise, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Pestaña Seguridad 1. En la barra lateral izquierda, haga clic en Code scanning alerts (Alertas de análisis de código). Pestaña "Code scanning alerts" (Alertas de análisis de código) 1. Debajo de "Code scanning", da clic en la alerta que quisieras explorar.

  2. Opcionalmente, para encontrar la alerta a rastrear, puedes utilizar la búsqueda de texto libre o los menús desplegables para filtrar y ubicar la alerta. Para más información, vea "Administración de alertas de análisis de código para el repositorio".

  3. En la parte superior de la página, en el lado derecho, haga clic en Crear incidencia. Creación de una incidencia de seguimiento para la alerta de análisis de código GitHub crea automáticamente una incidencia para hacer un seguimiento de la alerta y agrega esta alerta como un elemento de la lista de tareas. GitHub llena la propuesta previamente:

    • El título contiene el nombre de la alerta del code scanning.
    • El cuerpo contiene el elemento de la lista de tareas con la URL completa para la alerta del code scanning.
  4. Opcionalmente, edita el título y el cuerpo de la propuesta.

    Advertencia: Es posible que quiera editar el título de la incidencia, ya que puede exponer información de seguridad. También puedes editar el cuerpo de la propuesta, pero no edites el elemento de la lista de tareas o la propuesta ya no podrá rastrear a la alerta.

    Propuesta de rastreo nueva para la alerta de escaneo de código

  5. Haga clic en Enviar nueva incidencia.