コードスキャンアラートをGitHub Issuesにリンク可能に
GitHubは、コードスキャニングで検出されたセキュリティアラートをGitHub Issuesにリンクする機能をパブリックプレビューで公開し、セキュリティ対策を既存の計画・追跡ワークフローに統合できるようにしました。
キーポイント
アラートとIssueの相互リンク機能
コードスキャニングアラートページの新設「Tracking」セクション、またはIssueページの「Relationships」パネル内の新設「Security alerts」セクションから、アラートとGitHub Issuesを相互にリンクできるようになりました。
追跡状況の可視化とフィルタリング
リポジトリおよび組織のアラート一覧にアイコンが表示され、どのアラートがIssueで追跡されているかが一目でわかります。また、has:trackingやno:trackingフィルターを使用して、追跡済みまたは未追跡のアラートに焦点を当てることができます。
公開範囲と利用条件
この機能は、コードスキャニングが有効なリポジトリにおいて、github.comでパブリックプレビューとして利用可能です。GitHub Enterprise Cloud with data residencyでも利用できます。
影響分析・編集コメントを表示
影響分析
この機能は、セキュリティ対策を「発見」から「修正」までのプロセスにシームレスに組み込むことを可能にし、DevSecOpsの実践を促進します。開発チームが既に使い慣れているIssue管理のワークフロー内でセキュリティタスクを扱えるため、セキュリティ対策の優先度向上と対応の遅延防止に寄与すると考えられます。
編集コメント
GitHubのエコシステム内でのツール連携を強化する実用的なアップデート。セキュリティを「特別な作業」から「日常の開発プロセス」の一部に変えることを目指している点が核心。
コードスキャンアラートをGitHub Issuesにリンクできるようになりました。これにより、セキュリティ上の問題の修正作業を、既存の計画・追跡ワークフローに組み込むことが可能になります。この機能は現在、パブリックプレビューとして提供されています。
このアップデートにより、以下のことが可能になります:
- アラートをIssueにリンク: アラートページの新設された「追跡」セクション、またはIssueページの「関連項目」パネル内にある新設の「セキュリティアラート」セクションから、コードスキャンアラートをGitHub Issuesに関連付けることができます。
- 追跡状況を一目で確認: リポジトリおよび組織のアラート一覧に表示されるアイコンにより、どのアラートが既にIssueで追跡されているかがわかるため、対応が必要な未追跡のアラートを素早く見つけられます。
- 追跡状況でアラートをフィルタリング: コードスキャンアラート一覧およびセキュリティキャンペーンにおいて、
has:trackingおよびno:trackingフィルタを使用することで、追跡済みまたは未追跡のアラートに絞り込むことができます。
この機能は、コードスキャンが有効なリポジトリにおいて、github.comおよびデータレジデンシーを備えたGitHub Enterprise Cloud上で、パブリックプレビューとして利用可能です。
コードスキャンアラートの管理とCopilotによるアラート解決の詳細については、こちらをご覧ください。
フィードバックや質問がございましたら、コミュニティディスカッションにご参加の上、お聞かせください。
この投稿「コードスキャンアラートをGitHub Issuesにリンク」は、The GitHub Blogで最初に公開されました。
原文を表示
You can now link code scanning alerts to GitHub Issues, bringing security remediation into your existing planning and tracking workflows. This functionality is in public preview.
With this update, you can:
Link alerts to issues: Connect code scanning alerts to GitHub Issues from the alert page using the new “Tracking” section or from the issue page using the new “Security alerts” section in the “Relationships” panel.
See tracking status at a glance: Icons on repository and organization alert lists indicate which alerts are already tracked in issues, so you can quickly spot untracked alerts that need attention.
Filter alerts by tracking status: Use has:tracking and no:tracking filters on code scanning alert lists and security campaigns to focus on tracked or untracked alerts.
This feature is available in public preview on github.com for repositories with code scanning enabled, as well as on GitHub Enterprise Cloud with data residency.
Learn more about managing code scanning alerts and resolving alerts with Copilot.
Have feedback or questions? Join the community discussion to share feedback.
The post Link code scanning alerts to GitHub Issues appeared first on The GitHub Blog.
関連記事
BGP AS_PATH の最初の AS を強制する仕組みの導入
Cloudflare は、Spamhaus が報告したルート乗っ取り事案を踏まえ、不正なアクターが未使用の自律システム番号(ASN)を利用して偽の AS_PATH を作成しトラフィックを誤誘導する手口に対処するため、BGP の経路情報において最初の AS 番号の検証を強化する措置を発表した。
大規模なAI推論の不正利用防止について(5分読了)
Vercelは、攻撃者が露出したエンドポイントを悪用して盗んだAI推論を転売する手法と、従来のレート制限が不十分な理由を説明した。同社はBotID分析を用いてすべてのリクエストを検証し、不正利用を削減するアプローチを紹介している。
トランプ大統領、AI モデルの公開前に政府レビューを義務付ける行政命令に署名
ドナルド・トランプ米大統領は火曜日、最先端 AI モデルの公開前に連邦政府への共有を促す「任意枠組み」を含む行政命令に署名した。これはセキュリティ強化と革新促進が目的である。