참고
Code scanning 문제를 사용한 GitHub 경고 추적은 현재 공개 미리 보기 상태에 있으며 변경될 수 있습니다.
경고-문제 연결 작동 방식
코드의 취약성을 식별하는 경우 code scanning 경고를 GitHub 연결하여 **** 수정 작업을 추적할 수 있습니다. 이렇게 하면 기존 계획 및 프로젝트 관리 워크플로에 보안 수정이 제공되므로 스프린트 계획, 프로젝트 보드 및 팀 백로그에 취약성이 표시됩니다.
각 경고는 단일 문제에 연결할 수 있으며 각 문제는 최대 50개의 다른 경고를 추적할 수 있습니다. 이러한 유연성을 통해 팀의 워크플로에 따라 관련 취약성을 그룹화하거나 개별적으로 추적할 수 있습니다.
경고가 발견된 리포지토리뿐만 아니라 액세스 권한이 있고 GitHub Issues 사용하도록 설정된 리포지토리의 문제에 경고를 연결할 수 있습니다. 이 기능은 중앙 리포지토리에서 작업을 추적하거나 보안 수정을 위해 별도의 문제 추적기를 사용하는 경우에 유용합니다.
동기화 동작 이해
**경고 및 문제 상태는 자동으로 동기화되지 않습니다.** 경고에 대한 변경 내용은 연결된 문제를 업데이트하지 않으며 그 반대의 경우도 마찬가지입니다. 즉, 다음을 의미합니다.
- 취약성을 수정하고 경고가 자동으로 닫히면 연결된 문제는 수동으로 닫을 때까지 열려 있습니다.
- 문제를 닫거나 다시 열면 경고 상태는 변경되지 않습니다.
- 문제를 삭제하면 경고 페이지 및 경고 목록에서 링크가 제거되지만 경고 자체는 열려 있습니다.
연결된 경고 및 문제를 관리하기 위한 모범 사례
**수정 진행률을 명확하게 추적합니다.** 수정 사항을 커밋할 때 코드가 업데이트되었다는 것을 표시하는 연결된 문제에 주석을 추가합니다. 다음 code scanning 실행에서 경고가 닫힌 것을 확인한 후 수동으로 문제를 닫습니다.
**레이블을 사용하여 상태를 표시합니다.** "code-fixed-awaiting-scan"과 같은 문제 레이블을 만들거나 프로젝트 필드를 사용하여 취약성이 해결되었지만 문제가 최종 확인 및 종료를 기다리는 시기를 나타냅니다.
**책임을 할당합니다.** 특히 보안 및 개발 팀이 조정해야 하는 경우 문제 담당자를 사용하여 수정 작업을 누가 소유하고 있는지 명확하게 합니다.