Note
O rastreamento de alertas do code scanning em problemas está em versão prévia pública e está sujeito a alterações.
Esse recurso dá suporte à execução de análise nativamente por meio do GitHub Actions ou externamente por meio da infraestrutura de CI/CD existente, bem como ferramentas da code scanning de terceiros, mas não ferramentas de acompanhamento de terceiros.
Sobre o rastreamento de alertas de code scanning em problemas
Os alertas do Code scanning se integram às listas de tarefas no GitHub Issues para permitir que você priorize e o acompanhe alertas com todo o seu trabalho de desenvolvimento. Para acompanhar um alerta de code scanning em um problema existente, adicione a URL do alerta como um item da lista de tarefas no problema. Para obter mais informações sobre listas de tarefas, confira Sobre listas de tarefas.
Você também pode rapidamente criar um novo problema para rastrear um alerta:
- De um alerta da code scanning. Para obter mais informações, consulte Como criar um problema de acompanhamento de um alerta da code scanning.
- Da API. Para obter mais informações, consulte Como criar um problema de acompanhamento da API.
Você pode usar mais de um problema para rastrear o mesmo alerta de code scanning e os problemas podem pertencer a diferentes repositórios onde o alerta code scanning foi encontrado.
GitHub fornece instruções visuais em diferentes locais da interface de usuário para indicar quando você está monitorando alertas de code scanning em problemas.
-
A página de lista de alertas de code scanning mostrará quais alertas estão sendo acompanhados nos problemas para que você visualize rapidamente quais alertas ainda requerem processamento e em quantos problemas eles estão sendo acompanhados.
-
Uma seção "rastreado em" também será exibida na página de alerta correspondente.
-
No problema de rastreado, GitHub exibe um ícone do selo de segurança na lista de tarefas e no hovercard.
Note
Somente os usuários com permissões de gravação no repositório verão a URL não desenvolvida para o alerta na issue, bem como o hovercard. Para usuários com permissões de leitura no repositório, ou sem qualquer permissão, o alerta aparecerá como uma URL simples.
A cor do ícone é cinza porque um alerta tem um status de "aberto" ou "fechado" em cada branch. O problema rastreia um alerta para que o alerta não possa ter um único estado aberto/fechado no problema. Se o alerta for fechado em um branch, a cor do ícone não será alterada.
O status do alerta rastreado não mudará se você alterar o status da caixa de seleção do item da lista de tarefas correspondente (marcado/desmarcado) no problema.
Como criar um problema de acompanhamento
Em vez de acompanhar um alerta de code scanning em um problema existente, você pode criar um novo problema para acompanhar um alerta diretamente. Você pode criar problemas de acompanhamento para alertas de code scanning do próprio alerta ou da API.
Criando uma issue de um alerta de code scanning
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.
-
Na barra lateral, clique em Code scanning.
-
Em "Code scanning", clique no alerta que deseja explorar para ver a página do alerta detalhado.
-
Opcionalmente, para encontrar o alerta a rastrear, você pode usar a pesquisa de texto livre ou os menus suspensos para filtrar e localizar o alerta. Para saber mais, confira Avaliar alertas de verificação de código para seu repositório.
-
Na parte superior da página, no lado direito, clique em Criar problema.
O GitHub cria um problema automaticamente para acompanhar o alerta e adiciona o alerta como um item da lista de tarefas. GitHub preenche o problema:
- O título contém o nome do alerta de code scanning.
- O texto contém o item da lista de tarefas com a URL completa para o alerta de code scanning.
-
Opcionalmente, edite o título e o texto do problema.
Warning
O ideal é editar o título do problema, pois ele pode expor informações de segurança. Edite também o corpo do problema. Lembre-se de manter o item de lista de tarefas com um link para o alerta, caso contrário, o problema não acompanhará mais o alerta.
-
Clique em Enviar novo problema.
Como criar um problema de acompanhamento da API
-
Comece criando um problema por meio da API. Para obter mais informações, consulte Criar um problema.
-
Forneça o link de verificação de código no corpo do problema. Você deve usar a seguinte sintaxe da lista de tarefas para criar o relacionamento acompanhado:
- [ ] FULL-URL-TO-THE-CODE-SCANNING-ALERT
.Por exemplo, se você adicionar
- [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17
a um problema, o problema acompanhará o alerta da code scanning que tem a ID 17 na guia Segurança do repositóriooctocat-repo
na organizaçãooctocat-org
.