注意
在问题中跟踪代码扫描警报的功能处于公开预览阶段,可能随时更改。
此功能支持使用 GitHub Actions 或使用现有 CI/CD 基础设施以及第三方代码扫描工具本地运行分析,但不支持第三方跟踪工具。
关于在问题中跟踪代码扫描警报
代码扫描警报与 GitHub Issues 中的任务列表集成,允许您优先处理并跟踪所有开发工作的警报。要在现有问题中跟踪代码扫描警报,请将警报的 URL 添加为问题中的任务列表项。有关任务列表的更多信息,请参阅“关于任务列表”。
您还可以快速创建一个新问题来跟踪警报
- 来自代码扫描警报。有关更多信息,请参阅“从代码扫描警报创建跟踪问题”。
- 来自 API。有关更多信息,请参阅“从 API 创建跟踪问题”。
您可以使用多个问题来跟踪相同的代码扫描警报,并且问题可以属于与发现代码扫描警报的存储库不同的存储库。
GitHub 在用户界面的不同位置提供视觉提示,以指示您何时在问题中跟踪代码扫描警报。
-
代码扫描警报列表页面将显示哪些警报在问题中被跟踪,以便您可以一目了然地查看哪些警报仍需要处理以及它们被跟踪在多少个问题中。
-
相应的警报页面中也将显示“已跟踪在”部分。
-
在跟踪问题上,GitHub 在任务列表和悬停卡上显示安全徽章图标。
只有对存储库具有写入权限的用户才能在问题中看到展开的警报 URL 以及悬停卡。对于对存储库具有读取权限或根本没有权限的用户,警报将显示为普通 URL。
图标的颜色为灰色,因为每个分支上的警报状态都为“打开”或“关闭”。问题跟踪警报,因此警报在问题中无法具有单个打开/关闭状态。如果警报在一个分支上关闭,图标颜色不会更改。
如果您更改问题中相应任务列表项(选中/未选中)的复选框状态,则已跟踪警报的状态不会更改。
创建跟踪问题
您可以直接创建一个新问题来跟踪警报,而不是在现有问题中跟踪代码扫描警报。您可以直接从警报本身或从 API 创建代码扫描警报的跟踪问题。
从代码扫描警报创建跟踪问题
-
在 GitHub 上,导航到存储库的主页。
-
在存储库名称下,单击** 安全**。如果您看不到“安全”选项卡,请选择****下拉菜单,然后单击**安全**。
-
在左侧边栏中,单击 代码扫描.
-
在“代码扫描”下,单击您要浏览的警报以显示详细的警报页面。
-
或者,要查找要跟踪的警报,您可以使用自由文本搜索或下拉菜单来筛选和定位警报。更多信息,请参阅“评估您代码库的代码扫描警报”。
-
在页面顶部右侧,点击创建 Issue。
GitHub 会自动创建一个 Issue 来跟踪警报,并将警报添加为任务列表项。GitHub 会预先填充 Issue
- 标题包含代码扫描警报的名称。
- 正文包含带有代码扫描警报完整 URL 的任务列表项。
-
您可以选择编辑 Issue 的标题和正文。
警告
您可能需要编辑 Issue 的标题,因为它可能会暴露安全信息。您也可以编辑 Issue 的正文。请确保保留带有警报链接的任务列表项,否则 Issue 将不再跟踪警报。
-
点击提交新 Issue。
通过 API 创建跟踪 Issue
-
开始通过 API 创建 Issue。更多信息,请参阅“创建 Issue”。
-
在 Issue 的正文中提供代码扫描链接。您必须使用以下任务列表语法来创建跟踪关系:
- [ ] FULL-URL-TO-THE-CODE-SCANNING-ALERT。例如,如果您将
- [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17添加到 Issue 中,则该 Issue 将跟踪octocat-org组织中octocat-repo代码库的**安全**选项卡中 ID 号为 17 的代码扫描警报。