Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Использование списков задач в проблемах для отслеживания оповещений сканирования кода

В этой статье

Оповещения сканирования кода можно добавлять в проблемы с помощью списков задач. Это упрощает создание плана для процессов разработки, включающих оповещения об исправлении.

Кто может использовать эту функцию

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning доступен для всех общедоступных репозиториев в GitHub.com. Code scanning также доступен для частных репозиториев, принадлежащих организациям, которые используют GitHub Enterprise Cloud и имеют лицензию на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Примечание. Функция отслеживания оповещений code scanning в проблемах доступна в бета-версии и может быть изменена.

Эта функция поддерживает анализ с помощью встроенных инструментов, при котором используется GitHub Actions или использование инфраструктуры CI/CD извне, а также сторонних инструментов code scanning, но не сторонних инструментов отслеживания.

code scanning и отслеживание его оповещений в проблемах

Оповещения Code scanning интегрируются со списками задач в GitHub Issues, чтобы упростить определение приоритетов и отслеживание оповещений при разработке. Дополнительные сведения о проблемах см. в разделе О проблемах.

Чтобы отслеживать оповещение проверки кода в проблеме, добавьте URL-адрес для оповещения в качестве элемента списка задач в ошибке. Дополнительные сведения о списках задач см. в разделе Сведения о списках задач.

Для отслеживания оповещения можно также создать новую проблему:

  • Используйте оповещение, которое выдает code scanning, чтобы создать новую проблему и автоматически добавить это оповещение в список задач для нее. Дополнительные сведения см. ниже в разделе Создание проблемы для отслеживания из оповещения, которое выдает code scanning.

  • Используйте API-интерфейс обычным образом и укажите ссылку для сканирования кода в основном тексте проблемы. Чтобы создать связь для отслеживания, используйте синтаксис списка задач:

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • Например, если добавить - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 к проблеме, она будет отслеживать оповещение о проверке кода с идентификатором 17 на вкладке octocat-repo Безопасность репозитория в octocat-org организации.

Вы можете отслеживать одно и то же оповещение, которое выдает code scanning, из нескольких проблем, которые могут относиться к разным репозиториям, а не к тому, где code scanning находит проблему.

Различные области пользовательского интерфейса GitHub содержат визуальные индикаторы того, что code scanning имеет отслеживаемые оповещения в проблемах.

  • На странице списка оповещений сканирования кода будет показано, какие оповещения отслеживаются в проблемах, чтобы вы могли быстро просмотреть, какие оповещения по-прежнему требуют обработки и как они отслеживаются.

    Снимок экрана: представление оповещений code scanning. Первая запись содержит значок проблемы, за которым следует номер 2. Третья запись содержит значок проблемы, за которым следует номер 1. Оба они выделены темно-оранжевым цветом.

  • На соответствующей странице оповещения будет также отображаться раздел "Отслеживается в".

    Снимок экрана: оповещение code scanning. Под заголовком оповещения "Отслеживается по #1, #2" выделено темно-оранжевым цветом.

  • В проблеме, где ведется отслеживание, GitHub отображает значок безопасности в списке задач и во всплывающем окне.

    Развернутый URL-адрес оповещения в проблеме и всплывающее окно будут видимы только пользователям, которые имеют разрешение на запись в репозитории. Если у них есть только разрешение на чтение или вообще нет разрешений, будет отображаться только простой URL оповещения.

    Значок имеет серый цвет, так как оповещение имеет статус "открыто" или "закрыто" в каждой из ветвей. Проблема отслеживает оповещение, поэтому оно не может иметь в ней только состояние "открыто" или "закрыто". Если оповещение в одной ветви будет закрыто, цвет значка не изменится.

    Снимок экрана: проблема, которая отслеживает оповещение code scanning. Отобразится значок hovercard для оповещения с серым значком значка безопасности перед заголовком.

Если вы установите или снимите флажок элемента списка задач для какого-то из отслеживаемых оповещений в проблеме, статус этого оповещения не изменится.

Создание проблемы для отслеживания из оповещения, которое выдает сканирование кода

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность. Снимок экрана: заголовок репозитория с вкладками. Вкладка "Безопасность" выделена темно-оранжевым контуром. 1. На левой боковой панели щелкните Оповещения о проверке кода. 1. В разделе "Code scanning" щелкните оповещение, которое вы хотите изучить, чтобы отобразить подробную страницу оповещения.

  2. При необходимости вы можете использовать поиск по произвольному тексту или раскрывающиеся меню для фильтрации и поиска отслеживаемого оповещения. Дополнительные сведения см. в разделе Управление оповещениями проверки кода для репозитория.

  3. В верхней части страницы справа щелкните Создать проблему.

    Снимок экрана: оповещение code scanning. Кнопка "Создать проблему" выделена темно-оранжевым цветом.

    GitHub автоматически создает проблему для отслеживания оповещения и добавляет оповещение в качестве элемента списка задач. GitHub заранее заполняет в проблеме следующее:

    • Имя оповещения, которое выдает code scanning, в заголовке проблемы.
    • Элемент списка задач с полным URL-адресом оповещения, которое выдает code scanning, в основном тексте проблемы.

  4. При необходимости заголовок и текст проблемы можно изменять.

    Предупреждение. Имеет смысл изменить заголовок проблемы, если он раскрывает конфиденциальные сведения. Вы также можете изменить текст проблемы. Убедитесь, что вы сохраняете элемент списка задач со ссылкой на оповещение, в противном случае проблема больше не будет отслеживать оповещение.

  5. Щелкните Отправить новую проблему.