課題を使用したコードスキャンアラートの追跡

code scanningアラートを追跡とコラボレーションの問題にリンクすることで、セキュリティ結果をチームのワークフローに接続します。

この機能を使用できるユーザーについて

People with write access for the repository can link code scanning alerts to issues.

この記事で

メモ

Code scanningGitHubに関連する問題を利用したアラート追跡は現在パブリック プレビューの段階にあり、変更が加えられる可能性があります。

アラートから問題へのリンクのしくみ

コードに脆弱性が特定された場合、アラートを課題にリンクして、修復作業を追跡できます。 これにより、既存の計画およびプロジェクト管理ワークフローにセキュリティ修正が加わり、スプリント計画、プロジェクト ボード、チーム バックログに脆弱性が表示されます。

各アラートは 1 つの問題にリンクできますが、各問題は最大 50 個の異なるアラートを追跡できます。 この柔軟性により、チームのワークフローに応じて、関連する脆弱性をグループ化したり、個別に追跡したりできます。

アクセス権があり GitHub Issues が有効なリポジトリの問題に、アラートをリンクすることができます。これは、アラートが検出されたリポジトリに限りません。 これは、中央リポジトリで作業を追跡する場合や、セキュリティ修正のために別の問題トラッカーを使用する場合に便利です。

同期動作について

アラートと問題の状態は自動的に同期されません。 アラートに加えた変更によってリンクされた問題は更新されず、その逆も同様です。 これは、以下のようなことを意味します。

  • この脆弱性を修正し、アラートが自動的に閉じると、リンクされた問題は手動で閉じるまで開いたままです。
  • 問題を閉じたり、再度開いたりしても、アラートの状態は変わりません。
  • 問題を削除すると、アラート ページとアラート リストからリンクが削除されますが、アラート自体は開いたままです。

リンクされたアラートと問題を管理するためのベスト プラクティス

修復の進行状況を明確に追跡します。 修正プログラムをコミットするときに、コードが更新されたことを示すコメントをリンクされた問題に追加します。 次の code scanning 実行でアラートが閉じられたかどうかを確認したら、問題を手動で閉じます。

ラベルを使用して状態を表示します。 "code-fixed-awaiting-scan" などの問題ラベルを作成するか、プロジェクト フィールドを使用して、脆弱性が修正されたが、問題が最終的な検証と終了を待機している場合を示します。

責任を割り当てます。 問題の担当者を設定することで、どのユーザーが修復作業を担当しているかを明確にし、特にセキュリティチームと開発チームが調整を必要とする場合に役立ちます。