Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Suivi des alertes d’analyse du code dans les problèmes en utilisant des listes de tâches

Dans cet article

Vous pouvez ajouter des alertes d’analyse de code à des problèmes à l’aide de listes de tâches. Cela facilite la création d’un plan pour le travail de développement qui inclut la résolution des alertes.

Qui peut utiliser cette fonctionnalité

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Pour utiliser code scanning dans un dépôt privé appartenant à une organisation, vous devez avoir une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Remarque : Le suivi des alertes d’code scanning dans les problèmes est en version bêta et peut être amené à changer.

Cette fonctionnalité prend en charge l’exécution d’analyses de manière native via GitHub Actions ou de manière externe via l’infrastructure CI/CD existante ainsi que les outils d’code scanning tiers, mais pas à l’aide d’outils de suivi tiers.

À propos du suivi des alertes d’code scanning dans les problèmes

Les alertes Code scanning s’intègrent aux listes de tâches de GitHub Issues pour vous permettre de classer les alertes par ordre de priorité et de les suivre facilement dans le cadre de vos travaux de développement. Pour plus d’informations sur les problèmes, consultez « À propos des problèmes ».

Pour suivre une alerte d’analyse de code dans un problème, ajoutez l’URL de l’alerte en tant qu’élément de liste de tâches dans le problème. Pour plus d’informations sur les listes de tâches, consultez « À propos des listes de tâches ».

Vous pouvez également créer un problème pour suivre une alerte :

  • À partir d’une alerte d’code scanning, ce qui ajoute automatiquement l’alerte d’analyse du code à une liste de tâches dans le nouveau problème. Pour plus d’informations, consultez « Création d’un problème de suivi à partir d’une alerte d’code scanning » ci-dessous.

  • Par le biais de l’API comme vous le feriez normalement, et fournissez ensuite le lien d’analyse du code dans le corps du problème. Vous devez utiliser la syntaxe de la liste de tâches pour créer la relation suivie :

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • Par exemple, si vous ajoutez - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 à un problème, celui-ci suit l’alerte d’analyse du code qui a le numéro d’ID 17 sous l’onglet Sécurité du dépôt octocat-repo dans l’organisation octocat-org.

Vous pouvez utiliser plusieurs problèmes pour suivre la même alerte d’code scanning et les problèmes peuvent appartenir à d’autres dépôts que celui où l’alerte d’code scanning a été trouvée.

GitHub Enterprise Cloud fournit des indications visuelles à différents endroits de l’interface utilisateur pour indiquer quand vous suivez des alertes d’code scanning dans les problèmes.

  • La page de la liste des alertes d’analyse du code indique les alertes qui sont suivies dans les problèmes. Vous pouvez ainsi repérer rapidement les alertes qui demandent d’être traitées et le nombre de problèmes dans lesquels elles sont suivies.

    Capture d’écran de la vue des alertes d’code scanning. La première entrée comprend l’icône de problème suivie du numéro 2. La troisième entrée comprend l’icône de problème suivie du numéro 1. Les deux sont encadrés en orange foncé.

  • Une section « Suivi dans » s’affiche également dans la page d’alerte correspondante.

    Capture d’écran d’une alerte d’code scanning. Sous le titre de l’alerte, « Suivi par #1, #2 » est encadré en orange foncé.

  • Sur le problème de suivi, GitHub affiche une icône de badge de sécurité dans la liste des tâches et dans la fiche contextuelle.

    Seuls les utilisateurs disposant d’autorisations d’écriture sur le dépôt voient l’URL complète vers l’alerte dans le problème ainsi que la fiche contextuelle. Pour les utilisateurs disposant d’autorisations de lecture sur le dépôt ou dépourvus d’autorisations, l’alerte s’affiche sous la forme d’une URL simple.

    L’icône est grise, car une alerte a l’état « ouvert » ou « fermé » sur chaque branche. Le problème suit une alerte, de sorte que l’alerte ne peut pas avoir un seul état ouvert/fermé dans le problème. Si l’alerte est fermée sur une branche, la couleur de l’icône ne change pas.

    Capture d’écran montrant un problème qui suit une alerte d’code scanning. La carte sensitive de l’alerte s’affiche, avec une icône de badge de sécurité grise précédant le titre.

L’état de l’alerte suivie ne change pas si vous changez l’état de la case à cocher de l’élément de liste de tâches correspondant (coché/décoché) dans le problème.

Création d’un problème de suivi à partir d’une alerte d’analyse de code

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité 1. Sur la barre latérale gauche, cliquez sur Alertes d’analyse du code. 1. Sous « Code scanning », cliquez sur l’alerte à explorer.

  2. Si vous le souhaitez, pour rechercher l’alerte à suivre, vous pouvez utiliser la recherche en texte libre ou les menus déroulants afin de filtrer et localiser l’alerte. Pour plus d’informations, consultez « Gestion des alertes d’analyse du code pour votre référentiel ».

  3. En haut de la page, sur le côté droit, cliquez sur Créer un problème.

    Capture d’écran d’une alerte d’code scanning. Le bouton « Créer un problème » est encadré en orange foncé.

    GitHub crée automatiquement un problème pour suivre l’alerte et ajoute l’alerte en tant qu’élément de la liste de tâches. GitHub préremplit le problème :

    • Le titre contient le nom de l’alerte d’code scanning.
    • Le corps contient l’élément de liste de tâches avec l’URL complète vers l’alerte d’code scanning.

  4. Si vous le souhaitez, modifiez le titre et le corps du problème.

    Avertissement : Vous pouvez modifier le titre du problème, car il peut exposer des informations de sécurité. Vous pouvez également modifier le corps du problème. Veillez à conserver l’élément de lien liste des tâches avec un lien vers l’alerte, sinon le problème ne suit plus l’alerte.

  5. Cliquez sur Envoyer le nouveau problème.