注: Issue の code scanning アラートの追跡はベータ版であり、変更される可能性があります。
この機能では、GitHub Actions を使用してネイティブで、または既存の CI/CD インフラストラクチャを使用して外部で分析を実行すること、およびサードパーティの code scanning ツールがサポートされていますが、サードパーティの追跡ツールはサポート されていません。
issue での code scanning アラートの追跡について
Code scanning アラートは GitHub Issues のタスク リストと統合されており、すべての開発タスクで簡単にアラートに優先度付けし、追跡することができます。 issue のコード スキャン アラートを追跡するには、issue のタスク リスト項目としてアラートの URL を追加します。 タスク リストについて詳しくは、「タスクリストについて」をご覧ください。
また、アラートを追跡する新しい issue をすばやく作成することができます。
- code scanning アラートから。 詳細については、code scanning アラートからの追跡の issue の作成」を参照してください。
- API から 詳細については、「API からの追跡の issue の作成」を参照してください。
複数の issue を使用して、同じ code scanning アラートを追跡できます。issue は、code scanning アラートが見つかったリポジトリとは異なるリポジトリに属している可能性があります。
GitHub では、ユーザー インターフェイスのさまざまな場所で視覚的な手掛かりが提供され、issue の code scanning アラートを追跡するタイミングを示します。
-
コード スキャン アラートのリスト ページには issue のどのアラートが追跡されているかが表示されるため、まだ処理が必要なアラートと追跡されている issue の数を一目で確認できます。
-
[追跡対象] セクションは、対応するアラート ページにも表示されます。
-
追跡の issue では、GitHub には、タスク リストとホバーカードにセキュリティ バッジ アイコンが表示されます。
リポジトリへの書き込みアクセス許可を持つユーザーにのみ、issue 内のアラートへの URL とホバーカードが表示されます。 リポジトリに対する読み取りアクセス許可を持つユーザー、またはアクセス許可をまったく持たないユーザーの場合、アラートはプレーン URL として表示されます。
すべてのブランチでアラートの状態が "オープン" または "クローズ" であるため、アイコンの色は灰色になります。 この issue はアラートを追跡するため、アラートは issue で 1 つのオープン/クローズ状態を持つことはできません。 アラートが 1 つのブランチでクローズしている場合、アイコンの色は変更されません。
issue の対応するタスク リスト アイテムのチェック ボックスの状態 (オン/オフ) を変更しても、追跡対象のアラートの状態は変わりません。
追跡の issue の作成
既存の問題で code scanning アラートを追跡する代わりに、アラートを直接追跡する新しい issue を作成できます。 アラート自体または API から、code scanning アラートの追跡の issue を作成できます。
コード スキャン アラートからの追跡の issue の作成
-
GitHub.com で、リポジトリのメイン ページへ移動します。
-
リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
-
左側のサイドバーの [Code scanning alerts](コード スキャンのアラート) をクリックします。
-
[Code scanning] で、調査するアラートをクリックすると、詳しいアラート ページが表示されます。
-
必要に応じて、追跡するアラートを見つけるには、フリーテキスト検索またはドロップダウン メニューを使用して、アラートをフィルター処理して検索できます。 詳しくは、「リポジトリのコード スキャンのアラートを管理する」を参照してください。
-
ページの上部の右側にある [issue の作成] をクリックします。
GitHub によって、アラートを追跡する issue が自動的に作成され、アラートがタスク リスト項目として追加されます。 GitHub は、issue を事前に設定します。
- タイトルには、code scanning アラートの名前が含まれています。
- 本文には、code scanning アラートへの完全な URL を持つタスク リスト アイテムが含まれています。
-
必要に応じて、issue のタイトルと本文を編集します。
警告: セキュリティ情報が公開される可能性があるため、issue のタイトルを編集できます。 issue の本文も編集できます。 タスク リスト項目にはアラート リンクを維持してください。維持しない場合、その issue ではアラートが追跡されなくなります。
-
[新しい issue の送信] をクリックします。
API からの追跡の issue の作成
-
API を使用して issue の作成を開始します。 詳細については、「Issue の作成」を参照してください。
-
issue の本文内にコード スキャン リンクを指定します。 追跡対象のリレーションシップを作成するには、
- [ ] <full-URL-to-the-code-scanning-alert>
のタスク リスト構文を使用する必要があります。たとえば、
- [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17
を issue に追加すると、その issue によって、octocat-org
Organization 内にあるoctocat-repo
リポジトリの [セキュリティ] タブで ID 番号 17 のコード スキャン アラートが追跡されます。