Bewerten von Warnungen der Codeüberprüfung für das Repository

In der Sicherheitsansicht können Sie sich Warnungen genauer anschauen und im Hinblick auf potenzielle Schwachstellen oder Fehler im Code Ihres Projekts bewerten.

Wer kann dieses Feature verwenden?

Benutzer*innen mit Schreibzugriff

In diesem Artikel

Jeder mit Leseberechtigung für ein Repository kann code scanning-Anmerkungen zu Pull Requests anzeigen. Weitere Informationen finden Sie unter Filtern von Codescanbenachrichtigungen in Pull-Anforderungen.

Anzeigen der Warnungen für ein Repository

du benötigst Schreibberechtigungen, um eine Zusammenfassung aller Warnungen für ein Repository auf der Registerkarte Sicherheit anzuzeigen.

Standardmäßig wird die code scanning-Seite mit Warnungen so gefiltert, dass nur Warnungen für den Standardbranch des Repositorys angezeigt werden.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke in der linken Randleiste auf Code scanning.

  4. Verwende optional das Feld für die Freitextsuche oder die Einblendmenüs, um Warnungen zu filtern. Du kannst beispielsweise nach dem Tool filtern, das zum Identifizieren von Warnungen verwendet wurde.

    Screenshot der Seite mit den Warnungen der code scanning. Das Suchfeld und die Filter-Einblendmenüs sind dunkelorangefarben umrandet.

  5. Klicke unter „Code scanning“ auf die Warnung, die du dir näher ansehen möchtest, um die Seite mit den detaillierten Warnungsinformationen anzuzeigen. Der Status und die Details auf der Warnungsseite spiegeln nur den Status der Warnung für den Standardbranch des Repositorys wider, auch wenn die Warnung in anderen Branches vorhanden ist. Du kannst den Status der Warnung für nicht standardmäßigen Branches im Abschnitt Betroffene Branches rechts auf der Warnungsseite sehen. Wenn eine Warnung im Standardbranch nicht vorhanden ist, wird der Status der Warnung als „in Pull Request“ oder „in Branch“ in grau angezeigt. Im Abschnitt Development werden verknüpfte Branches und Pull Requests angezeigt, die die Warnung beheben.

  6. Wenn die Warnung auf ein Problem mit dem Datenfluss hinweist, klicke optional auf Show paths (Pfade anzeigen), um den Pfad von der Datenquelle zur Senke anzuzeigen, in der sie verwendet wird.

    Screenshot: code scanning-Warnung. Die Links „Pfade anzeigen“ und „Mehr anzeigen“ sind in Dunkelorange dargestellt.

  7. Warnungen aus der CodeQL-Analyse beinhalten eine Beschreibung des Problems. Klicke auf Mehr anzeigen, um weitere Informationen dazu anzuzeigen, wie du den Code korrigierst.

  8. Optional kannst du die Warnung einer Person zuweisen, die mithilfe des rechts angezeigten Steuerelements Assignees behoben werden soll. Weitere Informationen findest du unter Zuweisen von Warnungen.

Weitere Informationen finden Sie unter Informationen zu Codeüberprüfungswarnungen.

Hinweis

Informationen zur letzten Ausführung der code scanning-Analyse findest du auf der Seite mit dem Toolstatus. Weitere Informationen finden Sie unter Verwenden der Toolstatusseite zum Scannen von Code.

Befragen von GitHub Copilot Gespräch zu code scanning-Warnungen

Mit einer GitHub Copilot Enterprise-Lizenz kannst du Copilot-Chat bitten, Sicherheitswarnungen wie code scanning-Warnungen in den Repositorys deiner Organisation zu erklären. Weitere Informationen finden Sie unter Fragen zu GitHub Copilot in GitHub.com.

Anzeigen von Metriken für CodeQL-Pull-Request-Warnungen für eine Organisation

Für Warnungen der code scanning aus der CodeQL-Analyse können Sie in der Sicherheitsübersicht einsehen, wie CodeQL in Pull Requests in Repositorys Ihrer Organisation abschneidet, für die Sie Schreibzugriff besitzen. Außerdem können Sie darin Repositorys ermitteln, bei denen gegebenenfalls Maßnahmen zu ergreifen sind. Weitere Informationen finden Sie unter Anzeigen von Metriken für Pull Request-Warnungen.

Filtern von code scanning-Warnungen

Du kannst die Warnungen filtern, die in der Ansicht für code scanning-Warnungen angezeigt werden. Dies ist nützlich, wenn viele Warnungen vorhanden sind, da du dich auf einen bestimmten Warnungstyp konzentrieren kannst. Es gibt einige vordefinierte Filter und einen Bereich von Schlüsselwörtern, mit denen du die Liste der angezeigten Warnungen verfeinern kannst.

Wenn du ein Schlüsselwort aus einer Dropdownliste auswählst oder in das Suchfeld eingibst, werden nur Werte mit Ergebnissen angezeigt. Dadurch kannst du Filter vermeiden, die zu keinen Ergebnissen führen.

Screenshot des Suchfelds in der Warnungsansicht. Im Feld ist „branch:dependabot“ eingetragen, und alle gültigen Branches mit einem übereinstimmenden Namen werden angezeigt.

Wenn du mehrere Filter eingibst, werden in der Ansicht Warnungen angezeigt, die mit allen festgelegten Filtern übereinstimmen. Beispielsweise werden mit is:closed severity:high branch:main nur geschlossene Warnungen mit hohem Schweregrad angezeigt, die im main-Branch vorhanden sind. Die Ausnahme sind Filter im Zusammenhang mit Referenzen (ref, branch und pr): Mit is:open branch:main branch:next werden geöffnete Warnungen aus dem main-Branch und dem next-Branch angezeigt.

Beachte, dass, wenn du nach Warnungen in einem Nicht-Standardbranch gefiltert hast, dieselben Warnungen aber im Standardbranch vorhanden sind, die Warnungsseite für eine bestimmte Warnung trotzdem nur den Status der Warnung im Standardbranch anzeigt, auch wenn dieser Status mit dem Status in einem Nicht-Standardbranch in Widerspruch steht. So kann eine Warnung, die in der Liste „Offen“ in der Warnungsübersicht für branch-x auftaucht, auf der Warnungsseite den Status „Behoben“ haben, wenn die Warnung im Standardbranch bereits behoben ist. Du kannst den Status der Warnung für den Branch, den du gefiltert hast, im Abschnitt Betroffene Branches auf der rechten Seite der Warnungsseite einsehen.

Du kannst dem tag Filter - voranstellen, um Ergebnisse mit diesem Tag auszuschließen. -tag:style zeigt beispielsweise nur Warnungen an, die nicht über das style-Tag verfügen.

Beschränken von Ergebnissen nur auf Anwendungscode

Du kannst den Filter „Nur Warnungen im Anwendungscode“ oder autofilter:true-Schlüsselwort und -Wert verwenden, um Ergebnisse auf Warnungen im Anwendungscode einzuschränken. Weitere Informationen zu den Codetypen, die automatisch als Nicht-Anwendungscode bezeichnet werden, findest du unter Informationen zu Codeüberprüfungswarnungen.

Durchsuchen von code scanning-Warnungen

Du kannst die Liste der Warnungen durchsuchen. Dies ist zum Beispiel nützlich, wenn es eine große Anzahl von Warnungen im Repository gibt oder wenn du den genauen Namen für eine Warnung nicht kennst. Die Freitextsuche wird von GitHub folgendermaßen durchgeführt:

  • Der Name der Warnung
  • Die Warnungsdetails (dies umfasst auch die Informationen, die standardmäßig im reduzierbaren Abschnitt Mehr anzeigen ausgeblendet sind)
Unterstützte SucheSyntaxbeispielErgebnisse
EinzelwortsucheinjectionGibt alle Warnungen zurück, die das Wort injection enthalten
Suche nach mehreren Wörternsql injectionGibt alle Warnungen zurück, die das Wort sql oder injection enthalten
Suchen nach genauen Übereinstimmungen
(doppelte Anführungszeichen verwenden)		"sql injection"Gibt alle Warnungen zurück, die die genaue Wortgruppe sql injection enthalten
OR-Suchesql OR injectionGibt alle Warnungen zurück, die das Wort sql oder injection enthalten
AND-Suchesql AND injectionGibt alle Warnungen zurück, die sowohl das Wort sql als auch das Wort injection enthalten

Tipp

  • Die Suche nach mehreren Wörtern entspricht einer OR-Suche.
  • Bei der AND-Suche werden Ergebnisse zurückgegeben, in denen die Suchbegriffe an beliebiger Stelle ungeachtet der Reihenfolge im Warnungsnamen oder in den Warnungsdetails gefunden werden.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke in der linken Randleiste auf Code scanning.

  4. Gib rechts neben dem Dropdownmenü Filter im Feld für die Freitextsuche die Schlüsselwörter ein, nach denen gesucht werden soll.

           ![Screenshot des Suchfelds in der Warnungsansicht. Im Feld sind die vordefinierten Filter „is: open branch:main“ und der freie Text „sql or injection“ hervorgehoben.](/assets/images/help/repository/code-scanning-search-alerts.png)

  5. Drücke die EINGABETASTE. Die Liste der Warnungen enthält die geöffneten code scanning-Warnungen, die den Suchkriterien entsprechen.

Überwachen von Antworten auf code scanning-Warnungen

Du kannst die Aktionen, die als Reaktion auf code scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen finden Sie unter Prüfen von Sicherheitswarnungen.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/resolving-code-scanning-alerts)

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests)

  •         [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning)

  •         [AUTOTITLE](/code-security/code-scanning/integrating-with-code-scanning/about-integration-with-code-scanning)