Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Suivi des alertes d’analyse du code dans les problèmes en utilisant des listes de tâches

Vous pouvez ajouter des alertes d’analyse de code à des problèmes à l’aide de listes de tâches. Cela facilite la création d’un plan pour le travail de développement qui inclut la résolution des alertes.

Who can use this feature

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Pour utiliser code scanning dans un dépôt privé appartenant à une organisation, vous devez avoir une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Remarque : Le suivi des alertes d’code scanning dans les problèmes est en version bêta et peut être amené à changer.

Cette fonctionnalité prend en charge l’exécution d’analyses de manière native via GitHub Actions ou de manière externe via l’infrastructure CI/CD existante ainsi que les outils d’code scanning tiers, mais pas à l’aide d’outils de suivi tiers.

À propos du suivi des alertes d’code scanning dans les problèmes

Les alertes d’Code scanning s’intègrent aux listes de tâches de GitHub Issues pour vous permettre de hiérarchiser et de suivre facilement les alertes dans le cadre de vos travaux de développement. Pour plus d’informations sur les problèmes, consultez « À propos des problèmes ».

Pour suivre une alerte d’analyse de code dans un problème, ajoutez l’URL de l’alerte en tant qu’élément de liste de tâches dans le problème. Pour plus d’informations sur les listes de tâches, consultez « À propos des listes de tâches ».

Vous pouvez également créer un problème pour suivre une alerte :

  • À partir d’une alerte d’code scanning, ce qui ajoute automatiquement l’alerte d’analyse du code à une liste de tâches dans le nouveau problème. Pour plus d’informations, consultez « Création d’un problème de suivi à partir d’une alerte d’code scanning » ci-dessous.

  • Par le biais de l’API comme vous le feriez normalement, et fournissez ensuite le lien d’analyse du code dans le corps du problème. Vous devez utiliser la syntaxe de la liste de tâches pour créer la relation suivie :

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • Par exemple, si vous ajoutez - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 à un problème, celui-ci suit l’alerte d’analyse du code qui a le numéro d’ID 17 sous l’onglet Sécurité du dépôt octocat-repo dans l’organisation octocat-org.

Vous pouvez utiliser plusieurs problèmes pour suivre la même alerte d’code scanning et les problèmes peuvent appartenir à d’autres dépôts que celui où l’alerte d’code scanning a été trouvée.

GitHub Enterprise Cloud fournit des indications visuelles à différents endroits de l’interface utilisateur pour indiquer quand vous suivez des alertes d’code scanning dans les problèmes.

  • La page de la liste des alertes d’analyse du code indique les alertes qui sont suivies dans les problèmes. Vous pouvez ainsi repérer rapidement les alertes nécessitant un traitement.

    Dispositif de suivi dans la page des alertes d’analyse du code

  • Une section « Suivi dans » s’affiche également dans la page d’alerte correspondante.

    Section « Suivi dans » dans la page des alertes d’analyse du code

  • Sur le problème de suivi, GitHub affiche une icône de badge de sécurité dans la liste des tâches et dans la fiche contextuelle.

    Seuls les utilisateurs disposant d’autorisations d’écriture sur le dépôt voient l’URL complète vers l’alerte dans le problème ainsi que la fiche contextuelle. Pour les utilisateurs disposant d’autorisations de lecture sur le dépôt ou dépourvus d’autorisations, l’alerte s’affiche sous la forme d’une URL simple.

    L’icône est grise, car une alerte a l’état « ouvert » ou « fermé » sur chaque branche. Le problème suit une alerte, de sorte que l’alerte ne peut pas avoir un seul état ouvert/fermé dans le problème. Si l’alerte est fermée sur une branche, la couleur de l’icône ne change pas.

    Fiche contextuelle dans le problème de suivi

L’état de l’alerte suivie ne change pas si vous changez l’état de la case à cocher de l’élément de liste de tâches correspondant (coché/décoché) dans le problème.

Création d’un problème de suivi à partir d’une alerte d’analyse de code

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité 1. Sur la barre latérale gauche, cliquez sur Alertes d’analyse du code. Onglet « Alertes d’analyse du code »

  2. En haut de la page, sur le côté droit, cliquez sur Créer un problème. Créer un problème de suivi pour l’alerte d’analyse de code GitHub crée automatiquement un problème pour suivre l’alerte et ajoute l’alerte en tant qu’élément de liste de tâches. GitHub préremplit le problème :

    • Le titre contient le nom de l’alerte d’code scanning.
    • Le corps contient l’élément de liste de tâches avec l’URL complète vers l’alerte d’code scanning.
  3. Si vous le souhaitez, modifiez le titre et le corps du problème.

    Avertissement : Vous pouvez modifier le titre du problème, car il peut exposer des informations de sécurité. Vous pouvez également modifier le corps du problème, mais ne modifiez pas l’élément de liste de tâches, sinon le problème ne suivrait plus l’alerte.

    Nouveau problème de suivi pour l’alerte d’analyse du code

  4. Cliquez sur Envoyer le nouveau problème.