タスク リストを使用した issue のコード スキャン アラートの追跡

この記事の内容

タスク リストを使用して、コード スキャンのアラートを issue に追加できます。 これにより、アラートの修正を含む開発作業の計画を簡単に作成できます。

この機能を使用できるユーザー

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning は、GitHub.com のすべてのパブリック リポジトリに使用できます。 Code scanning は、GitHub Enterprise Cloud を使用していて GitHub Advanced Security のライセンスを持つ Organization によって所有されるプライベート リポジトリでも使用できます。 詳しくは、「GitHub Advanced Security について」を参照してください。

注: Issue の code scanning アラートの追跡はベータ版であり、変更される可能性があります。

この機能では、GitHub Actions を使用してネイティブで、または既存の CI/CD インフラストラクチャを使用して外部で分析を実行すること、およびサードパーティの code scanning ツールがサポートされていますが、サードパーティの追跡ツールはサポート されていません

issue での code scanning アラートの追跡について

Code scanning アラートは GitHub Issues のタスク リストと統合されており、すべての開発タスクで簡単にアラートに優先度付けし、追跡することができます。 issue のコード スキャン アラートを追跡するには、issue のタスク リスト項目としてアラートの URL を追加します。 タスク リストについて詳しくは、「タスクリストについて」をご覧ください。

また、アラートを追跡する新しい issue をすばやく作成することができます。

複数の issue を使用して、同じ code scanning アラートを追跡できます。issue は、code scanning アラートが見つかったリポジトリとは異なるリポジトリに属している可能性があります。

GitHub では、ユーザー インターフェイスのさまざまな場所で視覚的な手掛かりが提供され、issue の code scanning アラートを追跡するタイミングを示します。

  • コード スキャン アラートのリスト ページには issue のどのアラートが追跡されているかが表示されるため、まだ処理が必要なアラートと追跡されている issue の数を一目で確認できます。

    code scanning アラート ビューのスクリーンショット。 最初のエントリには issue アイコンが入り、数字 2 が続きます。 3 つ目のエントリには issue アイコンが入り、数字 1 が続きます。 両方とも濃いオレンジ色の枠線で囲まれています。

  • [追跡対象] セクションは、対応するアラート ページにも表示されます。

    code scanning アラートのスクリーンショット。 アラート タイトルの下で、"#1、#2 で追跡" が濃いオレンジで囲まれています。

  • 追跡の issue では、GitHub には、タスク リストとホバーカードにセキュリティ バッジ アイコンが表示されます。

    リポジトリへの書き込みアクセス許可を持つユーザーにのみ、issue 内のアラートへの URL とホバーカードが表示されます。 リポジトリに対する読み取りアクセス許可を持つユーザー、またはアクセス許可をまったく持たないユーザーの場合、アラートはプレーン URL として表示されます。

    すべてのブランチでアラートの状態が "オープン" または "クローズ" であるため、アイコンの色は灰色になります。 この issue はアラートを追跡するため、アラートは issue で 1 つのオープン/クローズ状態を持つことはできません。 アラートが 1 つのブランチでクローズしている場合、アイコンの色は変更されません。

    code scanning アラートを追跡する issue のスクリーンショット。 アラートのホバーカードが表示されています。タイトルの前に灰色のセキュリティ バッジが付いています。

issue の対応するタスク リスト アイテムのチェック ボックスの状態 (オン/オフ) を変更しても、追跡対象のアラートの状態は変わりません。

追跡の issue の作成

既存の問題で code scanning アラートを追跡する代わりに、アラートを直接追跡する新しい issue を作成できます。 アラート自体または API から、code scanning アラートの追跡の issue を作成できます。

コード スキャン アラートからの追跡の issue の作成

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. 左側のサイドバーの [Code scanning alerts](コード スキャンのアラート) をクリックします。

  4. [Code scanning] で、調査するアラートをクリックすると、詳しいアラート ページが表示されます。

  5. 必要に応じて、追跡するアラートを見つけるには、フリーテキスト検索またはドロップダウン メニューを使用して、アラートをフィルター処理して検索できます。 詳しくは、「リポジトリのコード スキャンのアラートを管理する」を参照してください。

  6. ページの上部の右側にある [issue の作成] をクリックします。

    code scanning アラートのスクリーンショット。 [issue の作成] ボタンが濃いオレンジ色の枠線で囲まれています。

    GitHub によって、アラートを追跡する issue が自動的に作成され、アラートがタスク リスト項目として追加されます。 GitHub は、issue を事前に設定します。

    • タイトルには、code scanning アラートの名前が含まれています。
    • 本文には、code scanning アラートへの完全な URL を持つタスク リスト アイテムが含まれています。

  7. 必要に応じて、issue のタイトルと本文を編集します。

    警告: セキュリティ情報が公開される可能性があるため、issue のタイトルを編集できます。 issue の本文も編集できます。 タスク リスト項目にはアラート リンクを維持してください。維持しない場合、その issue ではアラートが追跡されなくなります。

  8. [新しい issue の送信] をクリックします。

API からの追跡の issue の作成

  1. API を使用して issue の作成を開始します。 詳細については、「Issue の作成」を参照してください。

  2. issue の本文内にコード スキャン リンクを指定します。 追跡対象のリレーションシップを作成するには、- [ ] <full-URL-to-the-code-scanning-alert> のタスク リスト構文を使用する必要があります。

    たとえば、- [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 を issue に追加すると、その issue によって、octocat-org Organization 内にある octocat-repo リポジトリの [セキュリティ] タブで ID 番号 17 のコード スキャン アラートが追跡されます。