Hinweis: Die Nachverfolgung von code scanning-Warnungen bei Problemen befindet sich in der public preview und kann noch geändert werden.
Dieses Feature unterstützt die native Ausführung der Analyse mithilfe von GitHub Actions oder die externe Ausführung der Analyse über die vorhandene CI/CD-Infrastruktur sowie code scanning-Tools von Drittanbietern, aber keine Drittanbietertools zur Nachverfolgung.
Informationen zum Nachverfolgen von code scanning-Warnungen in Issues
Code scanning-Warnungen werden in Aufgabenlisten mit GitHub Issues integriert, damit du Warnungen in deiner gesamten Entwicklungsarbeit priorisieren und nachverfolgen kannst. Um eine code scanning-Warnung in einem vorhandenen Issue nachzuverfolgen, füge die URL für die Warnung als Aufgabenlistenelement im Issue hinzu. Weitere Informationen zu Aufgabenlisten findest du unter Informationen zu Aufgabenlisten.
Du kannst auch schnell ein neues Issue erstellen, um eine Warnung nachzuverfolgen:
- Von einer code scanning-Warnung. Weitere Informationen findest du unter „Erstellen eines Nachverfolgungsissues aus einer code scanning-Warnung“.
- Über die API. Weitere Informationen findest du unter „Erstellen eines Nachverfolgungsissues aus der API".
Du kannst mehrere Issues verwenden, um dieselbe code scanning-Warnung nachzuverfolgen, und Issues können zu verschiedenen Repositorys aus dem Repository gehören, bei dem die code scanning-Warnung festgestellt wurde.
GitHub bietet visuelle Hinweise an verschiedenen Stellen der Benutzeroberfläche, um anzugeben, dass du code scanning-Warnungen in Issues nachverfolgst.
-
Auf der Seite mit der Liste der code scanning-Warnungen wird angezeigt, welche Warnungen in Issues nachverfolgt werden, sodass du auf einen Blick sehen kannst, welchen Warnungen noch nachgegangen werden muss und in wie vielen Issues diese nachverfolgt werden.
-
Ein Abschnitt „Nachverfolgt in“ wird auch auf der entsprechenden Warnungsseite angezeigt.
-
Im Nachverfolgungsissue zeigt GitHub ein Sicherheitsbadgesymbol in der Aufgabenliste und auf der Hoverkarte an.
Nur Benutzer mit Schreibberechtigungen für das Repository sehen die vollständig erweiterte URL für die Warnung im Issue sowie die Hoverkarte. Für Benutzer mit Leseberechtigungen für das Repository oder für Benutzer ohne Berechtigungen wird die Warnung als einfache URL angezeigt.
Die Farbe des Symbols ist grau, weil eine Warnung für jeden Branch den Status „geöffnet“ oder „geschlossen“ aufweist. Das Issue verfolgt eine Warnung, daher kann die Warnung nicht über einen einzelnen geöffneten/geschlossenen Zustand im Issue verfügen. Wenn die Warnung für einen Branch geschlossen wird, ändert sich die Symbolfarbe nicht.
Der Status der nachverfolgten Warnung ändert sich nicht, wenn du den Kontrollkästchenzustand des entsprechenden Elements in der Aufgabenliste (aktiviert/deaktiviert) im Issue änderst.
Erstellen eines Nachverfolgungsissues
Anstatt eine code scanning-Warnung in einem vorhandenen Issue zu verfolgen, kannst du ein neues Issue erstellen, um eine Warnung direkt nachzuverfolgen. Du kannst Nachverfolgungsissues für code scanning-Warnungen aus der Warnung selbst oder aus der API erstellen.
Erstellen einer Nachverfolgung aus einer code scanning-Warnung
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
-
Klicken Sie in der Randleiste auf Code scanning.
-
Klicke unter „Code scanning“ auf die Warnung, die du dir näher ansehen möchtest, um die Seite mit den detaillierten Warnungsinformationen anzuzeigen.
-
Um die nachzuverfolgende Warnung zu finden, kannst du optional die Freitextsuche oder die Dropdownmenüs zum Filtern und Suchen der Warnung verwenden. Weitere Informationen findest du unter Bewerten von Warnungen der Codeüberprüfung für das Repository.
-
Klicke oben rechts auf der Seite auf Issue erstellen.
GitHub erstellt automatisch ein Issue, um die Warnung nachzuverfolgen, und fügt die Warnung als Aufgabenlistenelement hinzu. GitHub füllt das Issue im Voraus auf:
- Der Titel enthält den Namen der code scanning-Warnung.
- Der Text enthält das Aufgabenlistenelement mit der vollständigen URL zur code scanning-Warnung.
-
Bearbeite optional den Titel und den Text des Issues.
Warning
Du solltest den Titel des Issues bearbeiten, weil darin möglicherweise sicherheitsrelevante Informationen offengelegt werden. Du kannst auch den Text des Issues bearbeiten. Verlinke das Aufgabenlistenelement mit der Warnung, da das Issue die Warnung andernfalls nicht nachverfolgen kann.
-
Klicke auf Neues Issue übermitteln.
Erstellen eines Nachverfolgungsissues aus der API
-
Beginne mit dem Erstellen eines Issues über die API. Weitere Informationen findest du unter „Issue erstellen“.
-
Stelle den Codeüberprüfungslink im Textkörper des Issues bereit. Du musst die folgende Syntax für Aufgabenlisten verwenden, um die nachverfolgte Beziehung zu erstellen:
- [ ] FULL-URL-TO-THE-CODE-SCANNING-ALERT
.Wenn du beispielsweise
- [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17
einem Issue hinzufügst, verfolgt das Issue die code scanning-Warnung mit der ID-Nummer 17 auf der Registerkarte Sicherheit des Repositorysoctocat-repo
in der Organisationoctocat-org
.