Suivi des alertes d’analyse du code à l’aide des issues

Connectez les résultats de sécurité au flux de travail de votre équipe en liant code scanning des alertes aux problèmes de suivi et de collaboration.

Qui peut utiliser cette fonctionnalité ?

People with write access for the repository can link code scanning alerts to issues.

Dans cet article

Remarque

          Code scanning le suivi des alertes à l’aide GitHub de problèmes est actuellement en préversion publique cours et susceptible de changer.

Fonctionnement de la liaison alerte-à-problème

Quand vous code scanning identifiez une vulnérabilité dans votre code, vous pouvez lier l’alerte à un GitHubproblème pour suivre le travail de correction. Cela apporte des correctifs de sécurité dans votre workflow de planification et de gestion de projet existant, ce qui rend les vulnérabilités visibles dans la planification sprint, les tableaux de projet et les backlogs d’équipe.

Chaque alerte peut établir un lien vers un seul problème, tandis que chaque problème peut suivre jusqu’à 50 alertes différentes. Cette flexibilité vous permet de regrouper les vulnérabilités associées ou de les suivre individuellement, en fonction du flux de travail de votre équipe.

Vous pouvez lier des alertes à des problèmes dans n’importe quel référentiel où vous avez accès et GitHub Issues est activé, et pas seulement le référentiel où l’alerte a été trouvée. Cela est utile lorsque vous effectuez le suivi du travail dans un référentiel central ou utilisez un suivi des problèmes distinct pour les correctifs de sécurité.

Présentation du comportement de synchronisation

          **Les états des alertes et des problèmes ne sont pas synchronisés automatiquement.** Les modifications apportées à une alerte ne mettent pas à jour le problème lié, et inversement. En d’autres termes :
  • Lorsque vous corrigez la vulnérabilité et que l’alerte se ferme automatiquement, le problème lié reste ouvert jusqu’à ce que vous le fermiez manuellement.
  • Lorsque vous fermez ou rouvrez un problème, l’état de l’alerte reste inchangé.
  • Lorsque vous supprimez un problème, le lien est supprimé de la page d’alerte et de la liste des alertes, mais l’alerte elle-même reste ouverte.

Meilleures pratiques pour la gestion des alertes et problèmes liés

          **Suivez clairement la progression de la correction.** Lorsque vous validez un correctif, ajoutez un commentaire au problème lié en notant que le code est mis à jour. Après que l’exécution suivante code scanning ait confirmé que l’alerte est fermée, fermez manuellement le problème.

          **Utilisez des étiquettes pour afficher l’état.** Créez des étiquettes de problème telles que « code-fixed-waiting-scan » ou utilisez des champs de projet pour indiquer quand une vulnérabilité est corrigée, mais le problème attend la vérification finale et la fermeture.

          **Attribuez la responsabilité.** Utilisez les assignés aux problèmes pour indiquer clairement qui est responsable du travail de remédiation, en particulier lorsque les équipes de sécurité et de développement doivent se coordonner.