Rastreamento código de alerta em problemas que usam listas de tarefas

Você pode adicionar alertas de digitalização de código a problemas usando a lista de tarefas. Isto facilita a criação de um plano de trabalho de desenvolvimento que inclui a fixação de alertas.

Quem pode usar esse recurso?

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

A Code scanning está disponível para todos os repositórios públicos do GitHub.com. Para usar code scanning em um repositório privado pertencente a uma organização, você precisa ter um licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Neste artigo

Observação: o acompanhamento dos alertas da code scanning em problemas está em versão beta e sujeito a alterações.

Esse recurso dá suporte à execução de análise nativamente por meio do GitHub Actions ou externamente por meio da infraestrutura de CI/CD existente, bem como ferramentas da code scanning de terceiros, mas não ferramentas de acompanhamento de terceiros.

Sobre o rastreamento de alertas de code scanning em problemas

Os alertas do Code scanning se integram às listas de tarefas no GitHub Issues para permitir que você priorize e o acompanhe alertas com todo o seu trabalho de desenvolvimento. Para acompanhar um alerta de code scanning em um problema existente, adicione a URL do alerta como um item da lista de tarefas no problema. Para obter mais informações sobre listas de tarefas, confira "Sobre listas de tarefas".

Você também pode rapidamente criar um novo problema para rastrear um alerta:

Você pode usar mais de um problema para rastrear o mesmo alerta de code scanning e os problemas podem pertencer a diferentes repositórios onde o alerta code scanning foi encontrado.

GitHub Enterprise Cloud fornece instruções visuais em diferentes locais da interface de usuário para indicar quando você está monitorando alertas de code scanning em problemas.

  • A página de lista de alertas de code scanning mostrará quais alertas estão sendo acompanhados nos problemas para que você visualize rapidamente quais alertas ainda requerem processamento e em quantos problemas eles estão sendo acompanhados.

    Captura de tela da exibição de alertas da code scanning. A primeira entrada inclui o ícone de problema seguido do número 2. A terceira entrada inclui o ícone de problema seguido do número 1. Ambas são realçadas em laranja escuro.

  • Uma seção "rastreado em" também será exibida na página de alerta correspondente.

    Captura de tela de um alerta da code scanning. Abaixo do título do alerta, "Acompanhado por nº 1, nº 2" está realçado em laranja escuro.

  • No problema de rastreado, GitHub exibe um ícone do selo de segurança na lista de tarefas e no hovercard.

    Somente os usuários com permissões de gravação no repositório verão a URL não desenvolvida para o alerta na issue, bem como o hovercard. Para usuários com permissões de leitura no repositório, ou sem qualquer permissão, o alerta aparecerá como uma URL simples.

    A cor do ícone é cinza porque um alerta tem um status de "aberto" ou "fechado" em cada branch. O problema rastreia um alerta para que o alerta não possa ter um único estado aberto/fechado no problema. Se o alerta for fechado em um branch, a cor do ícone não será alterada.

    Captura de tela que mostra um problema que acompanha um alerta da code scanning. O cartão sensível à passagem do mouse do alerta é exibido, com um ícone de notificação de segurança cinza antes do título.

O status do alerta rastreado não mudará se você alterar o status da caixa de seleção do item da lista de tarefas correspondente (marcado/desmarcado) no problema.

Como criar um problema de acompanhamento

Em vez de acompanhar um alerta de code scanning em um problema existente, você pode criar um novo problema para acompanhar um alerta diretamente. Você pode criar problemas de acompanhamento para alertas de code scanning do próprio alerta ou da API.

Criando uma issue de um alerta de code scanning

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral, clique em Code scanning.

  4. Em "Code scanning", clique no alerta que deseja explorar para ver a página do alerta detalhado.

  5. Opcionalmente, para encontrar o alerta a rastrear, você pode usar a pesquisa de texto livre ou os menus suspensos para filtrar e localizar o alerta. Para obter mais informações, confira "Gerenciamento de alertas de varredura de código para seu repositório".

  6. Na parte superior da página, no lado direito, clique em Criar problema.

    Captura de tela de um alerta da code scanning. O botão "Criar problema" está realçado em laranja escuro.

    O GitHub cria um problema automaticamente para acompanhar o alerta e adiciona o alerta como um item da lista de tarefas. GitHub preenche o problema:

    • O título contém o nome do alerta de code scanning.
    • O texto contém o item da lista de tarefas com a URL completa para o alerta de code scanning.

  7. Opcionalmente, edite o título e o texto do problema.

    Aviso: o ideal é editar o título do problema, pois ele pode expor informações de segurança. Edite também o corpo do problema. Lembre-se de manter o item de lista de tarefas com um link para o alerta, caso contrário, o problema não acompanhará mais o alerta.

  8. Clique em Enviar novo problema.

Como criar um problema de acompanhamento da API

  1. Comece criando um problema por meio da API. Para obter mais informações, consulte "Criar um problema".

  2. Forneça o link de verificação de código no corpo do problema. Você deve usar a seguinte sintaxe da lista de tarefas para criar o relacionamento acompanhado: - [ ] FULL-URL-TO-THE-CODE-SCANNING-ALERT.

    Por exemplo, se você adicionar - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 a um problema, o problema acompanhará o alerta da code scanning que tem a ID 17 na guia Segurança do repositório octocat-repo na organização octocat-org.