Skip to main content

タスクリストを使ったIssue内のCode scanningアラートの追跡

タスクリストを使って、IssueにCode scanningアラートを追加できます。 そうすることで、アラートの修復を含む開発作業の計画を立てやすくなります。

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning is available for all public repositories. Code scanning is also available in private repositories owned by organizations that use GitHub Enterprise Cloud and have a license for GitHub Advanced Security. 詳しい情報については、「GitHub Advanced Security について」を参照してください。

Note: The tracking of code scanning alerts in issues is in beta and subject to change.

This feature supports running analysis natively using GitHub Actions or externally using existing CI/CD infrastructure, as well as third-party code scanning tools, but not third-party tracking tools.

Issue内のcode scanningアラートの追跡について

Code scanning alerts integrate with task lists in GitHubのIssue to make it easy for you to prioritize and track alerts with all your development work. Issue に関する詳しい情報については「Issue について」を参照してください。

To track a code scanning alert in an issue, add the URL for the alert as a task list item in the issue. For more information about task lists, see "About tasks lists."

アラートを追跡するために新しいIssueを作成することもできます。

  • 新しいIssue内のタスクリストに自動的にCode scanningアラートを追加するcode scanningアラートから。 詳しい情報については、下の「code scanningアラートからの追跡用Issueの作成」を参照してください。

  • 通常のようにAPIを通じて。そして、Issueの本文内にCode scanningのリンクを提供します。 追跡される関係性を作成するために、タスクリストの構文を使う必要があります。

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • たとえば- [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17をIssueに追加したなら、そのIssueはoctocat-orgというOrganizationのoctocat-repoリポジトリの"Security(セキュリティ)"タブにある17というIDのCode scanningアラートを追跡します。

同じcode scanningアラートを複数のIssueを使って追跡でき、Issueはcode scanningアラートが見つかったリポジトリとは別のリポジトリに属していてもかまいません。

GitHubは、Issue内でcode scanningアラートを追跡していることを示すため、ユーザインターフェースの様々な場所に視覚的な手がかりを示します。

  • Code scanningアラートのリストページは、Issueで追跡されているアラートを示して、処理がまだ必要なアラートを一目で分かるようにしてくれます。

    Code scanningアラートページでのTracked inピル

  • "tracked in(追跡)"セクションも、対応するアラートページを示してくれます。

    Code scanningアラートページのTracked inセクション

  • 追跡しているIssueで、GitHubはタスクリストとホバーカードにセキュリティバッジアイコンを表示します。

    リポジトリに書き込み権限を持つユーザだけには、ホバーカードとともにIssue内にアラートへの展開URLが表示されます。 リポジトリへの読み取り権限を持っているか、まったく権限を持っていないユーザには、アラートは通常のURLとして表示されます。

    すべてのブランチでアラートのステータスが"open"もしくは"closed"なので、アイコンは灰色になっています。 Issueはアラートを追跡するので、アラートは単一のオープン/クローズのステータスをIssue内で持てません。 アラートが1つのブランチでクローズになっていても、アイコンの色は変化しません。

    追跡しているIssueのホバーカード

Issue内の対応するタスクリストアイテムのチェックボックスの状態を変更(チェック/チェック解除)しても、追跡されているアラートのステータスは変化しません。

Code scanningアラートからの追跡Issueの作成

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。

  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ

  3. 左のサイドバーで、Code scanning alerts(コードスキャンニングアラート)をクリックしてください。 "コードスキャンニングアラート"タブ

  4. [Code scanning] で、調査するアラートをクリックします。

  5. あるいは、追跡するアラートを見つけるために、フリーテキスト検索もしくはフィルタリングのためのドロップダウンメニューを使ってアラートを特定できます。 詳しい情報については、「リポジトリの Code scanningアラートを管理する」を参照してください。

  6. ページの上部の右側で、 Create issue(Issueの作成)をクリックしてください。

    Code scanningアラートに対する追跡Issueの作成

    GitHubはアラートを追跡するためのIssueを自動的に作成し、アラートをタスクリストアイテムとして追加します。 GitHubはIssueを事前展開します。

    • タイトルにはcode scanningアラートの名前が含まれます。
    • 本文にはcode scanningアラートへの完全なURLを持つタスクリストアイテムが含まれます。
  7. あるいは、Issueのタイトルと本文を編集してください。

    警告: Issueのタイトルはセキュリティ情報を公開してしまうかもしれないので、編集すべき場合があります。 Issueの本文も編集できますが、タスクリストアイテムは編集するとIssueがアラートを追跡できなくなってしまうので、編集しないでください。

    Code scanningアラートに対する新しい追跡Issue

  8. Submit new issue(新しいIssueのサブミット)をクリックしてください。