Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.
All products
Segurança do código

Rastreamento código de alerta em problemas que usam listas de tarefas

Neste artigo

Você pode adicionar alertas de digitalização de código a problemas usando a lista de tarefas. Isto facilita a criação de um plano de trabalho de desenvolvimento que inclui a fixação de alertas.

Quem pode usar esse recurso

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

A Code scanning está disponível para todos os repositórios públicos do GitHub.com. A Code scanning também está disponível em repositórios privados pertencentes às organizações que usam o GitHub Enterprise Cloud e que têm uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Observação: o acompanhamento dos alertas da code scanning em problemas está em versão beta e sujeito a alterações.

Esse recurso dá suporte à execução de análise nativamente por meio do GitHub Actions ou externamente por meio da infraestrutura de CI/CD existente, bem como ferramentas da code scanning de terceiros, mas não ferramentas de acompanhamento de terceiros.

Sobre o rastreamento de alertas de code scanning em problemas

Os alertas do Code scanning se integram às listas de tarefas do GitHub Issues para facilitar a priorização e o acompanhamento de alertas com todo o seu trabalho de desenvolvimento. Para obter mais informações sobre problemas, confira "Sobre problemas."

Para acompanhar um alerta da verificação de código em um problema, adicione a URL do alerta como um item da lista de tarefas no problema. Para obter mais informações sobre listas de tarefas, confira "Sobre listas de tarefas".

Você também pode criar um novo problema para rastrear um alerta:

  • De um alerta de code scanning, que adiciona automaticamente o alerta de digitalização de código a uma lista de tarefas no novo problema. Para obter mais informações, confira "Como criar um problema de acompanhamento com base em um alerta da code scanning" abaixo.

  • Através da API como você normalmente faria e, em seguida, fornecer o link de digitalização de código dentro do texto do problema. Você deve usar a sintaxe da lista de tarefas para criar o relacionamento rastreado:

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • Por exemplo, se você adicionar - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 a um problema, o problema acompanhará o alerta da verificação de código que tem o número de ID 17 na guia Segurança do repositório octocat-repo na organização octocat-org.

Você pode usar mais de um problema para rastrear o mesmo alerta de code scanning e os problemas podem pertencer a diferentes repositórios onde o alerta code scanning foi encontrado.

GitHub fornece instruções visuais em diferentes locais da interface de usuário para indicar quando você está monitorando alertas de code scanning em problemas.

  • A página da lista de alertas de digitalização de código mostrará quais alertas são rastreados nos problemas para que você possa ver com rapidamente quais alertas ainda precisam de processamento.

    Dispositivo de rastreamento na página de alerta de digitalização do código

  • Uma seção "rastreado em" também será exibida na página de alerta correspondente.

    Rastreado na seção da página de alerta do exame de código

  • No problema de rastreado, GitHub exibe um ícone do selo de segurança na lista de tarefas e no hovercard.

    Somente os usuários com permissões de gravação no repositório verão a URL não desenvolvida para o alerta na issue, bem como o hovercard. Para usuários com permissões de leitura no repositório, ou sem qualquer permissão, o alerta aparecerá como uma URL simples.

    A cor do ícone é cinza porque um alerta tem um status de "aberto" ou "fechado" em cada branch. O problema rastreia um alerta para que o alerta não possa ter um único estado aberto/fechado no problema. Se o alerta for fechado em um branch, a cor do ícone não será alterada.

    Hovercard no problema rastreado

O status do alerta rastreado não mudará se você alterar o status da caixa de seleção do item da lista de tarefas correspondente (marcado/desmarcado) no problema.

Criando um problema de rastreamento a partir de um alerta de digitalização de código

  1. No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro. 1. Na barra lateral esquerda, clique em Alertas da verificação de código. 1. Em "Code scanning", clique no alerta que deseja explorar.

  2. Opcionalmente, para encontrar o alerta a rastrear, você pode usar a pesquisa de texto livre ou os menus suspensos para filtrar e localizar o alerta. Para obter mais informações, confira "Gerenciamento de alertas de varredura de código para seu repositório".

  3. Na parte superior da página, no lado direito, clique em Criar problema. Crie um problema de rastreamento para o alerta de exame de código O GitHub cria automaticamente um problema para rastrear o alerta e adiciona o alerta como um item da lista de tarefas. GitHub preenche o problema:

    • O título contém o nome do alerta de code scanning.
    • O texto contém o item da lista de tarefas com a URL completa para o alerta de code scanning.

  4. Opcionalmente, edite o título e o texto do problema.

    Aviso: o ideal é editar o título do problema, pois ele pode expor informações de segurança. Você também pode editar o texto do problema, mas não edite o item da lista de tarefas ou o problema não irá mais rastrear o alerta.

    Novo problema de rastreamento para o alerta de digitalização de código

  5. Clique em Enviar novo problema.