Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
All products
コードセキュリティ

タスク リストを使用した issue のコード スキャン アラートの追跡

この記事の内容

タスク リストを使用して、コード スキャンのアラートを issue に追加できます。 これにより、アラートの修正を含む開発作業の計画を簡単に作成できます。

この機能を使用できるユーザー

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning は、GitHub.com のすべてのパブリック リポジトリに使用できます。 Code scanning は、GitHub Enterprise Cloud を使用していて GitHub Advanced Security のライセンスを持つ Organization によって所有されるプライベート リポジトリでも使用できます。 詳しくは、「GitHub Advanced Security について」を参照してください。

注: Issue の code scanning アラートの追跡はベータ版であり、変更される可能性があります。

この機能では、GitHub Actions を使用してネイティブで、または既存の CI/CD インフラストラクチャを使用して外部で分析を実行すること、およびサードパーティの code scanning ツールがサポートされていますが、サードパーティの追跡ツールはサポート されていません

issue での code scanning アラートの追跡について

Code scanning アラートは GitHub Issues のタスク リストと統合されており、すべての開発タスクで簡単にアラートに優先度付けし、追跡することができます。 issue について詳しくは、「Issueについて」をご覧ください。

issue のコード スキャン アラートを追跡するには、issue のタスク リスト項目としてアラートの URL を追加します。 タスク リストについて詳しくは、「タスクリストについて」をご覧ください。

アラートを追跡する新しい issue を作成することもできます。

  • code scanning アラートから、コード スキャン アラートが新しい issue のタスク リストに自動的に追加されます。 詳細については、以下の「code scanning アラートからの追跡の issue の作成」を参照してください。

  • 通常と同様に API を使用し、issue の本文内にコード スキャン リンクを提供します。 追跡対象のリレーションシップを作成するには、タスク リスト構文を使用する必要があります。

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • たとえば、- [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 を issue に追加すると、その issue によって、octocat-org Organization 内にある octocat-repo リポジトリの [セキュリティ] タブで ID 番号 17 のコード スキャン アラートが追跡されます。

複数の issue を使用して、同じ code scanning アラートを追跡できます。issue は、code scanning アラートが見つかったリポジトリとは異なるリポジトリに属している可能性があります。

GitHub では、ユーザー インターフェイスのさまざまな場所で視覚的な手掛かりが提供され、issue の code scanning アラートを追跡するタイミングを示します。

  • コード スキャン アラートのリスト ページには、issue のどのアラートが追跡されているかが表示されるため、処理がまだ必要なアラートをひとめで確認できます。

    コード スキャンのアラート ページの pill で追跡

  • [追跡対象] セクションは、対応するアラート ページにも表示されます。

    コード スキャンのアラート ページのセクションで追跡

  • 追跡の issue では、GitHub には、タスク リストとホバーカードにセキュリティ バッジ アイコンが表示されます。

    リポジトリへの書き込みアクセス許可を持つユーザーにのみ、issue 内のアラートへの URL とホバーカードが表示されます。 リポジトリに対する読み取りアクセス許可を持つユーザー、またはアクセス許可をまったく持たないユーザーの場合、アラートはプレーン URL として表示されます。

    すべてのブランチでアラートの状態が "オープン" または "クローズ" であるため、アイコンの色は灰色になります。 この issue はアラートを追跡するため、アラートは issue で 1 つのオープン/クローズ状態を持つことはできません。 アラートが 1 つのブランチでクローズしている場合、アイコンの色は変更されません。

    追跡中のホバーカードの issue

issue の対応するタスク リスト アイテムのチェック ボックスの状態 (オン/オフ) を変更しても、追跡対象のアラートの状態は変わりません。

コード スキャン アラートからの追跡の issue の作成

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。 1. 左側のサイドバーの [Code scanning alerts](コード スキャンのアラート) をクリックします。 [Code scanning alerts](コード スキャンのアラート) タブ 1. [Code scanning] で、調査するアラートをクリックします。

  2. 必要に応じて、追跡するアラートを見つけるには、フリーテキスト検索またはドロップダウン メニューを使用して、アラートをフィルター処理して検索できます。 詳しくは、「リポジトリのコード スキャンのアラートを管理する」を参照してください。

  3. ページの上部の右側にある [issue の作成] をクリックします。 コード スキャン アラートの追跡の issue を作成する GitHub では、issue が自動的に作成されてアラートが追跡され、アラートがタスク リスト アイテムとして追加されます。 GitHub は、issue を事前に設定します。

    • タイトルには、code scanning アラートの名前が含まれています。
    • 本文には、code scanning アラートへの完全な URL を持つタスク リスト アイテムが含まれています。

  4. 必要に応じて、issue のタイトルと本文を編集します。

    警告: セキュリティ情報が公開される可能性があるため、issue のタイトルを編集できます。 issue の本文を編集することもできますが、タスク リスト アイテムを編集しないでください。そうしないと、issue がアラートを追跡しなくなります。

    コード スキャン アラートの新しい追跡の issue

  5. [新しい issue の送信] をクリックします。