Erste Schritte mit GitHub-Problemen

  • 8 Minuten

GitHub-Probleme sind das integrierte Tracking-System für Aufgaben, Fehler und Featureanforderungen in GitHub-Repositorys. Bevor Sie Probleme mithilfe von GitHub Copilot effektiv beheben können, müssen Sie verstehen, wie Sie mit GitHub-Problemen effektiv arbeiten können.

Was sind GitHub-Probleme?

GitHub-Probleme bieten einen Arbeitsbereich für die Zusammenarbeit, in dem Teams Arbeitsaufgaben nachverfolgen, Probleme dokumentieren und Verbesserungen planen. Jedes Issue funktioniert als Ticket in einem Tracking-System – es kann Teammitgliedern zugewiesen, mit Labels kategorisiert, mit Codeänderungen verknüpft und mit Diskussionen und Dokumentationen angereichert werden.

Stellen Sie sich GitHub-Probleme als intelligente to-do-Liste eines Teams vor. Jedes Element enthält Diskussionen, Codeverweise und Metadaten, um sicherzustellen, dass die Arbeit nicht durch die Risse fällt. Für sicherheitsorientierte Arbeit bietet GitHub-Probleme Sichtbarkeit und Rückverfolgbarkeit, die Teams dabei hilft, systematisch auf Sicherheitsrisiken zu reagieren.

Kernkomponenten eines Problems

Das Verständnis der Struktur von GitHub-Problemen hilft Ihnen, sie effektiv zu lesen, zu verwalten und zu beheben.

Title

Der Titel sollte eine präzise, beschreibende Zusammenfassung des Problems sein. Gute Titel helfen Teammitgliedern, das Problem schnell auf einen Blick zu verstehen.

Beispiele für effektive Problemtitel:

  • SQL-Injection-Sicherheitsanfälligkeit im Produktsuche-Endpunkt
  • "Schwache Verschlüsselung im Benutzerkennwortspeicher"
  • "Pfad-Traversalrisiko bei Dateiuploadfunktionen"

Ein gut geschriebener Titel kommuniziert sofort sowohl den Typ des Problems (Sicherheitsrisiko) als auch seinen Standort (Produktsuchendpunkt).

Description

Die Beschreibung ist der Ort, an dem sich die Details befinden. Eine umfassende Problembeschreibung sollte die folgenden Informationen enthalten:

  • Was passiert: Eine klare Erläuterung des Problems oder der Anforderung.
  • Schritte zum Reproduzieren: Für Fehler spezifische Aktionen, die das Problem auslösen.
  • Erwartetes Verhalten: Was sollte stattdessen geschehen?
  • Warum es wichtig ist: Die Bedeutung der Behandlung dieses Problems.
  • Akzeptanzkriterien: Überprüfen, wann das Problem behoben ist.

Hier ist ein Beispiel für eine gut strukturierte Sicherheitsproblembeschreibung:

The login authentication function stores user passwords in plaintext in the database.

**Current behavior:**
Passwords are stored directly as strings without hashing or encryption.

**Security impact:**
If the database is compromised, all user passwords are immediately exposed.

**Expected behavior:**
Passwords should be hashed using a secure algorithm (like bcrypt) with appropriate salt before storage.

**Acceptance criteria:**
- Implement bcrypt password hashing.
- Verify no plaintext passwords exist in storage.
- Update authentication to validate against hashed passwords.

Ein gut geschriebenes Problem ist halb behoben. Er führt den Entwickler direkt zum Problem ohne Mehrdeutigkeit.

Kommentare

Der Abschnitt "Kommentare" ermöglicht die Teamdiskssion. Teammitglieder können:

  • Stellen Sie Klarstellungsfragen.
  • Schlagen Sie potenzielle Lösungen vor.
  • Teilen Sie Untersuchungsergebnisse.
  • Verweisen Sie auf den verwandten Code oder die Probleme.
  • Dokumentieren Sie Entscheidungen, die während der Problemlösung getroffen wurden.

Kommentare erstellen einen Wissenspfad, der aktuellen und zukünftigen Entwicklern hilft, sowohl das Problem als auch die Gründe hinter der Lösung zu verstehen.

Zugewiesene Personen

Die zugewiesene Person ist die Person, die für die Lösung des Problems zuständig ist. Ein klarer Eigentümer gewährleistet die Verantwortlichkeit und verhindert, dass Probleme nicht im Backlog liegenbleiben.

Bewährte Methode: Weisen Sie einem Problem immer einen primären Besitzer zu. Wenn Sie der Verantwortliche sind, sind Sie dafür verantwortlich, es zur Lösung zu führen. Die Aufgabe des Beauftragten bedeutet nicht, dass Sie allein arbeiten – Sie können mit anderen zusammenarbeiten – aber Sie besitzen das Ergebnis.

Labels

Bezeichnungen kategorisieren und priorisieren Probleme. Zu den allgemeinen Bezeichnungen gehören:

  • Typbezeichnungen: Fehler, Verbesserungen, Dokumentation, Sicherheit.
  • Prioritätsbezeichnungen: P0-kritisch, P1-hoch, P2-mittel, P3-niedrig.
  • Statusbezeichnungen: in Bearbeitung, blockiert, muss überprüft werden.
  • Komponentenbezeichnungen: Back-End, Frontend, API, Datenbank.

Bezeichnungen können verwendet werden, um Probleme in Listen zu filtern und zu sortieren, wodurch es einfacher ist, sich auf eine hohe Priorität oder sicherheitsbezogene Arbeit zu konzentrieren.

Bei Sicherheitsproblemen helfen Bezeichnungen Teams beim schnellen Filtern und Priorisieren von Sicherheitsrisiken, die sofortige Aufmerksamkeit benötigen. Eine Sicherheitsbezeichnung in Kombination mit P0-kritisch signalisiert, dass das Problem dringende Maßnahmen erfordert.

Meilensteine

Meilensteine gruppieren verwandte Probleme mit einem gemeinsamen Ziel. Beispielsweise eine Versionsfreigabe oder Projektphase. Meilensteine helfen Teams dabei, die Arbeit zu koordinieren und den Fortschritt in Richtung größerer Ziele zu verfolgen, während sie für einzelne Probleme nicht von entscheidender Bedeutung sind.

Untersuchen des Lebenszyklus eines Problems

Probleme durchlaufen mehrere Phasen von Erstellung zu Lösung. Wenn Sie diesen Lebenszyklus verstehen, können Sie Probleme effektiv verwalten.

Phase 1: Erstellung

Probleme können von Entwicklern, Testern oder Benutzern erstellt werden, die Probleme oder Verbesserungsmöglichkeiten identifizieren. Sicherheitsprobleme können durch Folgendes ermittelt werden:

  • Codeüberprüfungen.
  • Automatisierte Sicherheitsüberprüfungen.
  • Penetrationstests.
  • Benutzerberichte.
  • Sicherheitsüberwachungen.

Schließen Sie beim Erstellen eines Problems ausreichende Kontext- und Akzeptanzkriterien ein. Dadurch werden klare Erwartungen festgelegt, wenn das Problem als gelöst betrachtet wird.

Phase 2: Triage

Während der Triage, ein Teamleiter oder eine bestimmte Person:

  • Überprüft neue Probleme.
  • Weist Prioritätsstufen zu.
  • Fügt entsprechende Bezeichnungen hinzu.
  • Weist das Problem einem Entwickler zu.
  • Verknüpft verwandte Probleme oder Dokumentationen.

Probleme mit hohem Schweregrad, insbesondere Sicherheitsrisiken, werden für sofortige Aufmerksamkeit gekennzeichnet. Sicherheitsprobleme sollten niemals ohne Bewertung in einem Backlog sein.

Phase 3: Untersuchung und Diskussion

Der zugewiesene Entwickler untersucht das Problem. Entwickler können während ihrer Untersuchung eine oder mehrere der folgenden Aufgaben ausführen:

  • Stellen Sie klärende Fragen in Kommentaren.
  • Dokumentieren Sie Ergebnisse aus der Codeanalyse.
  • Schlagen Sie potenzielle Lösungen vor.
  • Fordern Sie zusätzliche Informationen an.
  • Identifizieren Sie verwandte Codebereiche, die betroffen sind.

Diese Diskussionsphase stellt sicher, dass jeder das Problem versteht, bevor er eine Lösung implementiert.

Phase 4: Implementierung

Der Entwickler erstellt einen Featurezweig und implementiert den Fix. Der Implementierungsprozess umfasst in der Regel die folgenden Aufgaben:

  • Schreiben oder Ändern von Code.
  • Hinzufügen oder Aktualisieren von Tests.
  • Lokal Überprüfung der Fehlerbehebung.
  • Vorbereitung eines Pull Requests (PR).

Phase 5: Verknüpfen von Commits und Pullanforderungen

GitHub verbindet Automatisch Probleme mit Codeänderungen, wenn Sie in Commit-Nachrichten oder PR-Beschreibungen mithilfe von Schlüsselwörtern darauf verweisen:

  • Fixes #123
  • Closes #123
  • Resolves #123

Beispiel für Commit-Nachricht:

Fix SQL injection vulnerability in search function

Implement parameterized queries to prevent SQL injection attacks.
Add input validation for search parameters.

Fixes #42

Die Verwendung von Schlüsselwörtern zum Verweisen auf Probleme schafft Rückverfolgbarkeit zwischen dem Problem und seiner Lösung. Wenn die PR zusammengeführt wird, schließt GitHub automatisch das Problem, auf das verwiesen wird. Diese Automatisierung stellt sicher, dass Probleme nicht geöffnet bleiben, nachdem sie behoben wurden, und erstellt eine dauerhafte Verknüpfung zwischen der Problembeschreibung und den Codeänderungen, die sie behoben haben.

Phase 6: Schließen und Überprüfung

Wenn die PR zusammengeführt wird, wird das Problem automatisch geschlossen (falls ordnungsgemäß verwiesen wird). Wenn beim Testen das Problem nicht vollständig behoben ist, kann es für mehr Arbeit erneut geöffnet werden.

Bewährte Methode: Überprüfen Sie nach dem Schließen, ob die Akzeptanzkriterien in der ursprünglichen Problembeschreibung erfüllt sind. Berücksichtigen Sie bei Sicherheitsproblemen eine zusätzliche Überprüfung durch Sicherheitstests.

Verwalten von GitHub-Problemen in Visual Studio Code

Visual Studio Code integriert sich direkt in GitHub-Probleme über die GitHub Pull Requests-Erweiterung. Diese Integration ermöglicht Folgendes:

  • Zeigen Sie zugewiesene Probleme an, ohne den Editor verlassen zu müssen.
  • Erstellen sie neue Probleme aus Visual Studio Code.
  • Verknüpfen Sie Codeänderungen mit Problemen, während Sie arbeiten.
  • Überprüfen Sie die Problemdetails zusammen mit Ihrem Code.

So greifen Sie auf GitHub-Probleme in Visual Studio Code zu:

  1. Installieren Sie die Erweiterung "GitHub Pull Requests and Issues".
  2. Melden Sie sich bei Ihrem GitHub-Konto an.
  3. Zeigen Sie Probleme im GitHub-Bereich an.
  4. Filtern Sie nach zugewiesenen Personen, Bezeichnungen oder Meilensteinen.

Diese enge Integration optimiert Ihren Workflow, indem der Problemkontext während des Codes sichtbar bleibt.

Warum effektives Problemmanagement wichtig ist

Effiziente Problemverfolgung verhindert, dass kritische Probleme, insbesondere im Bereich der IT-Sicherheit, übersehen werden. Betrachten Sie diese realen Szenarien:

  • Kleinere Probleme werden zu schwerwiegenden Vorfällen: Ein "minor-looking"-Sicherheitsproblem im Backlog kann zu einem schwerwiegenden Vorfall werden, wenn Angreifer es zuerst entdecken. Sicherheitsprobleme in GitHub-Problemen sind sichtbar und nachverfolgbar – verwenden Sie diese Sichtbarkeit als Verantwortlichkeitstool.

  • Verlorenes institutionelles Wissen: Wenn Probleme schlecht dokumentiert sind oder Diskussionen außerhalb des Tracking-Systems stattfinden, verschwindet wertvoller Kontext. Zukünftige Entwickler (einschließlich Sie in sechs Monaten) verstehen möglicherweise nicht, warum bestimmte Entscheidungen getroffen wurden.

  • Verzögerte Antworten: Ohne eindeutige Prioritätsbezeichnungen und Zuweisungen erhalten kritische Sicherheitsrisiken möglicherweise keine rechtzeitige Aufmerksamkeit.

Nutzen Sie die problemgesteuerte Entwicklung: Identifizieren Sie das Problem, beheben Sie es, überprüfen Sie die Lösung, schließen Sie das Problem, und fahren Sie fort. Dieser systematische Ansatz sorgt für Vollständigkeit und schafft Vertrauen in Ihre Codebasis.

Zusammenfassung

GitHub Issues bietet die Grundlage für die systematische Problemlösung in der Softwareentwicklung. Das Verständnis, wie Probleme effektiv gelesen, interpretiert und verwaltet werden können, ist unerlässlich, bevor Sie sie effizient beheben können.