Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.
В настоящее время GitHub AE находится в ограниченном выпуске.
All products
Безопасность кода

Использование списков задач в проблемах для отслеживания оповещений сканирования кода

В этой статье

Оповещения сканирования кода можно добавлять в проблемы с помощью списков задач. Это упрощает создание плана для процессов разработки, включающих оповещения об исправлении.

Кто может использовать эту функцию

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning доступен для принадлежащих организации репозиториев в GitHub AE. Это функция входит в состав GitHub Advanced Security (на этапе бета-версии предоставляется бесплатно). Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Примечание. Функция отслеживания оповещений code scanning в проблемах доступна в бета-версии и может быть изменена.

Эта функция поддерживает анализ с помощью встроенных инструментов, при котором используется GitHub Actions или использование инфраструктуры CI/CD извне, а также сторонних инструментов code scanning, но не сторонних инструментов отслеживания.

code scanning и отслеживание его оповещений в проблемах

Оповещения Code scanning интегрируются со списками задач в GitHub Issues, чтобы упростить определение приоритетов и отслеживание оповещений при разработке. Дополнительные сведения о проблемах см. в разделе О проблемах.

Чтобы отслеживать оповещение проверки кода в проблеме, добавьте URL-адрес для оповещения в качестве элемента списка задач в ошибке. Дополнительные сведения о списках задач см. в разделе Сведения о списках задач.

Для отслеживания оповещения можно также создать новую проблему:

  • Используйте оповещение, которое выдает code scanning, чтобы создать новую проблему и автоматически добавить это оповещение в список задач для нее. Дополнительные сведения см. ниже в разделе Создание проблемы для отслеживания из оповещения, которое выдает code scanning.

  • Используйте API-интерфейс обычным образом и укажите ссылку для сканирования кода в основном тексте проблемы. Чтобы создать связь для отслеживания, используйте синтаксис списка задач:

    • - [ ] <full-URL- to-the-code-scanning-alert>
    • Например, если добавить - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 к проблеме, она будет отслеживать оповещение о проверке кода с идентификатором 17 на вкладке octocat-repo Безопасность репозитория в octocat-org организации.

Вы можете отслеживать одно и то же оповещение, которое выдает code scanning, из нескольких проблем, которые могут относиться к разным репозиториям, а не к тому, где code scanning находит проблему.

Различные области пользовательского интерфейса GitHub AE содержат визуальные индикаторы того, что code scanning имеет отслеживаемые оповещения в проблемах.

  • Страница списка отслеживаемых оповещений сканирования кода в проблемах позволяет быстро увидеть, какие из оповещений еще требуют обработки.

    Индикаторы отслеживания на странице оповещений сканирования кода

  • На соответствующей странице оповещения будет также отображаться раздел "Отслеживается в".

    Отслеживается в разделе на странице оповещений о сканировании кода

  • В проблеме, где ведется отслеживание, GitHub отображает значок безопасности в списке задач и во всплывающем окне.

    Развернутый URL-адрес оповещения в проблеме и всплывающее окно будут видимы только пользователям, которые имеют разрешение на запись в репозитории. Если у них есть только разрешение на чтение или вообще нет разрешений, будет отображаться только простой URL оповещения.

    Значок имеет серый цвет, так как оповещение имеет статус "открыто" или "закрыто" в каждой из ветвей. Проблема отслеживает оповещение, поэтому оно не может иметь в ней только состояние "открыто" или "закрыто". Если оповещение в одной ветви будет закрыто, цвет значка не изменится.

    Всплывающее окно в проблеме для отслеживания

Если вы установите или снимите флажок элемента списка задач для какого-то из отслеживаемых оповещений в проблеме, статус этого оповещения не изменится.

Создание проблемы для отслеживания из оповещения, которое выдает сканирование кода

  1. На ваше предприятие перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность. Снимок экрана: заголовок репозитория с вкладками. Вкладка "Безопасность" выделена темно-оранжевым контуром. 1. На левой боковой панели щелкните Оповещения о проверке кода. Вкладка "Оповещения о проверке кода" 1. В разделе "Code scanning" щелкните оповещение, для изучения.

  2. При необходимости вы можете использовать поиск по произвольному тексту или раскрывающиеся меню для фильтрации и поиска отслеживаемого оповещения. Дополнительные сведения см. в разделе Управление оповещениями проверки кода для репозитория.

  3. В верхней части страницы справа щелкните Создать проблему. Создание проблемы отслеживания для оповещения сканирования кода GitHub автоматически создает проблему для отслеживания оповещения и добавляет оповещение в качестве элемента списка задач. GitHub заранее заполняет в проблеме следующее:

    • Имя оповещения, которое выдает code scanning, в заголовке проблемы.
    • Элемент списка задач с полным URL-адресом оповещения, которое выдает code scanning, в основном тексте проблемы.

  4. При необходимости заголовок и текст проблемы можно изменять.

    Предупреждение. Имеет смысл изменить заголовок проблемы, если он раскрывает конфиденциальные сведения. Вы также можете изменить текст проблемы, но не изменяйте элемент списка задач, иначе отслеживать с ее помощью оповещение станет невозможно.

    Новая проблема для отслеживания оповещения сканирования кода

  5. Щелкните Отправить новую проблему.