Informationen zu Codescans

Du kannst die code scanning nutzen, um Sicherheitsrisiken und Fehler im Code deines Projekts auf GitHub zu finden.

Wer kann dieses Feature verwenden?

Code scanning is available for the following repository types:

  • Public repositories on GitHub.com
  • Organization-owned repositories on GitHub Team, GitHub Enterprise Cloud, or GitHub Enterprise Server, with GitHub Code Security enabled.

In diesem Artikel

[Note: Without actual content provided by "Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt.", the specific translation cannot be generated. Below is a hypothetical translation based on typical technical content related to code scanning.]

Verbesserungsvorschläge: Code-Scanning einführen Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt.

Mit der code scanning kannst du in deinem Code Probleme suchen, selektieren und deren Behandlung priorisieren. Code scanning verhindert auch, dass Entwickler*innen neue Probleme schaffen. Sie können Scans für bestimmte Tage und Uhrzeiten planen oder Scans auslösen, wenn ein bestimmtes Ereignis im Repository auftritt, z. B. ein Pushvorgang.

Wenn die code scanning ein mögliches Sicherheitsrisiko oder einen Fehler in deinem Code findet, zeigt GitHub eine Warnung im Repository an. Nachdem du den Code korrigiert hast, der die Meldung ausgelöst hat, schließt GitHub die Meldung. Weitere Informationen finden Sie unter Problemlösung für Warnungen der Codeüberprüfung.

GitHub Copilot Autofix schlägt Korrekturen für Warnungen von code scanning-Analyse vor, wodurch Entwickelnde Sicherheitsrisiken mit weniger Aufwand verhindern und reduzieren können. Weitere Informationen finden Sie unter Verantwortungsbewusste Nutzung von Copilot Autofix für das Scannen von Code.

Um die Ergebnisse der code scanning in deinen Repositorys oder deiner Organisation zu überwachen, kannst du Webhooks und die code scanning-API verwenden. Informationen zu den Webhooks für die code scanning finden Sie unter Webhook-Ereignisse und -Nutzlasten. Weitere Informationen zu API-Endpunkten finden Sie unter REST-API-Endpunkte für die Codeüberprüfung.

Informationen zu den ersten Schritten mit der code scanning finden Sie unter Konfigurieren des Standardsetups für das Code-Scanning.

Informationen zu Tools für die code scanning

Sie können code scanning so konfigurieren, dass das von GitHub verwaltete Produkt CodeQL oder ein Drittanbieter-Tool code scanning verwendet wird.

Informationen zur CodeQL-Analyse

CodeQL ist die von GitHub entwickelte Codeanalyse-Engine zum Automatisieren von Sicherheitsprüfungen. Du kannst deinen Code mithilfe von CodeQL analysieren und die Ergebnisse als code scanning-Warnungen anzeigen. Weitere Informationen zu CodeQL finden Sie unter Informationen zu Codescans mit CodeQL.

Informationen zu code scanning-Tools von Drittanbietern

Sie können Analysetools von Drittanbietern innerhalb von GitHub mithilfe von Aktionen oder innerhalb eines externen CI-Systems ausführen. Weitere Informationen findest du unter Konfigurieren des erweiterten Setups für das Code-Scanning oder Hochladen einer SARIF-Datei in GitHub.

Informationen zur Seite mit dem Toolstatus

Die Seite mit dem Toolstatus enthält nützliche Informationen zu allen Codeüberprüfungstools. Wenn die Codeüberprüfung nicht wie erwartet funktioniert, ist die Seite mit dem Toolstatus ein guter Ausgangspunkt zum Debuggen von Problemen. Weitere Informationen finden Sie unter Informationen zur Toolstatusseite für die Codeüberprüfung.