注意
Code scanning 使用 GitHub 问题的警报跟踪当前处于 公共预览版 状态,可能会发生更改。
警报与问题链接如何工作
在代码中标识漏洞时 code scanning ,可以将警报链接到 GitHub问题 以跟踪修正工作。 这将安全修复引入现有规划和项目管理工作流,使漏洞在冲刺规划、项目板和团队积压工作中可见。
每个警报都可以链接到单个问题,而每个问题最多可以跟踪 50 个不同的警报。 这种灵活性使你可以根据团队的工作流对相关漏洞进行分组或单独跟踪。
可以将警报链接到你有权访问且 GitHub Issues 已启用的任何存储库中的问题,并不仅限于找到警报的存储库。 在中央存储库中跟踪工作或使用单独的问题跟踪器进行安全修复时,这非常有用。
了解同步行为
**警报和问题状态不会自动同步。** 对警报所做的更改不会更新链接的问题,反之亦然。 这意味着:
- 修复漏洞并自动关闭警报时,链接的问题将保持打开状态,直到你手动关闭它。
- 关闭或重新打开问题时,警报状态保持不变。
- 删除问题时,链接将从警报页和警报列表中删除,但警报本身仍保持打开状态。
管理链接警报和问题的最佳做法
**清楚地跟踪修正进度。** 提交修补程序时,请向链接问题添加注释,指出代码已更新。 下次 code scanning 运行确定警报已关闭后,请手动关闭问题。
**使用标签显示状态。** 创建问题标签(如“code-fixed-awaiting-scan”)或使用项目字段来指示何时修复漏洞,但问题正在等待最终验证和关闭。
**分配责任。** 使用问题责任人来明确谁负责修正工作,特别是在需要安全和开发团队协调时。