鉴定拉取请求中的代码扫描警报

当在拉取请求中 code scanning 标识出问题时,你可以查看突出显示的代码并解决警报。

谁可以使用此功能?

具有读取访问权限的用户

在本文中

根据你的配置,code scanning 结果可能会显示为拉取请求上的检查结果和注释。 有关详细信息,请参阅“代码扫描警报”。

查看 code scanning 检查的结果

对于所有 code scanning 配置,包含 code scanning 结果的检查是:Code scanning 个结果。 所使用的每个分析工具的结果将单独显示。 拉取请求中更改的代码行的任何新警报都会显示为批注。

要查看所分析分支的完整警报集,请单击查看所有分支警报。 这将打开完整的警报视图,你可以在其中按类型、严重性、标记等筛选分支上的所有警报。有关详细信息,请参阅 访问存储库的代码扫描警报

拉取请求的 Code scanning 结果检查的屏幕截图。 “查看所有分支警报”链接以深橙色边框突出显示。

管理检查失败的严重性级别

如果 code scanning 结果检查发现任何严重性为 errorcriticalhigh 的问题,检查将失败,并且错误将在检查结果中报告。 如果找到 code scanning 的所有结果的严重性较低,则警报将被视为警告或注释,并且检查成功。

拉取请求中合并框的屏幕截图。 “代码扫描结果/CodeQL”检查有“1 个新警报,包括 1 个高严重性安全…”

你可以通过指定会导致拉取请求检查失败的严重级别和安全严重性来覆盖仓库设置中的默认行为。 有关详细信息,请参阅“代码扫描的工作流配置选项”。

诊断您的code scanning配置问题

根据你的配置,你可能会看到在配置了 code scanning 的拉取请求上运行的其他检查。 这些通常是分析代码或上传 code scanning 结果的工作流。 当分析出现问题时,这些检查对于故障排除非常有用。

例如,如果存储库使用 CodeQL 分析工作流程,则在结果检查运行之前,会针对每种语言运行 CodeQL / Analyze (LANGUAGE) 检查。 如果配置有问题,或者拉取请求破坏了分析编译的语言(例如 C/C++、C#、Go、Java、Kotlin、Rust、和 Swift)的构建,分析检查可能会失败。

与其他拉取请求检查一样,你可以在检查选项卡上查看检查失败的完整详细信息。有关配置和故障排除的详细信息,请参阅 代码扫描的工作流配置选项代码扫描分析错误疑难解答

查看拉取请求上的警报

你可以在“对话”**** 选项卡中查看位于拉取请求引入的更改的差异内的任何 code scanning 警报。Code scanning 会发布一个拉取请求审查,将每个警报显示为触发警报的代码行的注释。 可以对警报进行注释、关闭警报并直接从注释中查看警报的路径。 可以通过单击“显示更多详细信息”链接来查看警报的完整详细信息,该链接将带你进入警报详细信息页面。

屏幕截图显示了拉取请求“对话”选项卡上的警报注释。 “显示更多详细信息”链接以深橙色框出。

你还可以在“文件已更改”**** 选项卡中查看位于拉取请求引入的更改的差异内的所有 code scanning 警报。

如果在拉取请求中添加了新的代码扫描配置,则会看到有关拉取请求的注释,指示你到 Security 存储库的选项卡,以便可以查看拉取请求分支上的所有警报。 有关查看存储库警报的详细信息,请参阅 访问存储库的代码扫描警报

如果您拥有仓库的写入权限,则某些注释将包含警报额外上下文的链接。 在上面的示例中,您可以从 分析 中单击 用户提供的值 以查看不受信任的数据进入数据流的位置,此处称为源。 在此例中,还可以通过单击显示路径来查看从源到使用数据的代码(池)的完整路径。 这样就很容易检查数据是否不受信任,或者分析是否无法识别源与池之间的数据净化步骤。 有关使用 CodeQL分析数据流的信息,请参阅关于数据流分析

要查看有关警报的更多信息,拥有写入权限的用户可单击注释中所示的显示更多详情链接。 这允许您在警报视图中查看工具提供的所有上下文和元数据。 在下例中,您可以查看显示问题的严重性、类型和相关通用缺陷枚举 (CWE) 的标记。 该视图还显示哪个提交引入了问题。

警报页面上的状态和详细信息仅反映存储库默认分支上的警报状态,即使警报存在于其他分支中也是如此。 可以在警报页右侧的“受影响的分支”部分查看非默认分支上的警报状态。 如果默认分支中不存在警报,则警报的状态将显示为“在拉取请求中”或“在分支中”,并将变为灰色。 “开发”部分显示将修复警报的链接分支和拉取请求。****

在警报的详细视图中,某些 code scanning 工具(如 CodeQL 分析)还包括问题说明和一个指导如何修复代码的 显示更多 链接。

显示 code scanning 警报的说明的屏幕截图。 标有“查看更多”的链接以深橙色边框突出显示。

对拉取请求中的警报进行注释

您可以在拉取请求中对任何出现的 code scanning 警报发表评论。 在拉取请求审查过程中,警报以批注形式出现在拉取请求的对话选项卡中,并且显示在已更改的文件选项卡中。

你可以选择要求拉取请求中的所有对话(包括 code scanning 警报上的对话)在合并拉取请求之前必须已解决。 有关详细信息,请参阅“关于受保护分支”。

修复拉取请求上的警报

任何具有拉取请求推送访问权限的人都可以在该拉取请求上修复确定的 code scanning 警报。 如果将更改提交到拉取请求,这将触发拉取请求检查的新运行。 如果您的更改修复了问题,则警报将被关闭,注释将被删除。

忽略拉取请求上的警报

关闭警报的另一种办法是忽略它。 您可以忽略您认为不需要修复的警报。 例如,仅用于测试的代码中有错误,或者修复错误的工作超过改进代码的潜在益处。 如果存储库具有写入权限,则会在代码注释和警报摘要中提供 “消除警报 ”按钮。 单击关闭警报时,系统会提示你选择关闭警报的原因。

代码扫描检查失败的屏幕截图。 “关闭警报”按钮以深橙色突出显示。 显示了“关闭警报”下拉列表。

从下拉菜单中选择合适的原因很重要,因为这可能会影响到是否继续将查询纳入未来的分析。 (可选)可对关闭操作进行注释以记录警报关闭操作的上下文。 关闭操作注释将添加到警报时间线,可在审核和报告期间用作理由。 可使用代码扫描 REST API 检索或设置注释。 注释包含在 dismissed_comment 终结点的 alerts/{alert_number} 中。 有关详细信息,请参阅“适用于代码扫描的 REST API 终结点”。

如果将 CodeQL 警报作为误报予以忽略,例如因为代码使用了不受支持的清理库,请考虑参与 CodeQL 存储库并改进分析。 有关 CodeQL 的详细信息,请参阅“参与 CodeQL”。

有关消除警报的详细信息,请参阅“解决代码扫描警报”。