Note
Der Websiteadministrator muss code scanning aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen finden Sie unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.
Möglicherweise kannst du code scanning nicht aktivieren oder deaktivieren, wenn eine Unternehmensbesitzerin eine GitHub Advanced Security-Richtlinie (GHAS) auf Unternehmensebene festgelegt hat. Weitere Informationen finden Sie unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.
Informationen zur Seite mit dem Toolstatus
Die Seite mit dem Toolstatus enthält nützliche Informationen zu allen deinen Tools für die code scanning. Wenn die code scanning nicht wie erwartet funktioniert, ist die Seite mit dem Toolstatus ein guter Ausgangspunkt zum Debuggen von Problemen.
Auf der Seite mit dem Toolstatus siehst du, wie gut Codeüberprüfungstools für ein Repository funktionieren, wann Dateien im Repository erstmals und zuletzt überprüft wurden und wann Überprüfungen geplant sind. Für integrierte Tools wie CodeQL werden auch ausführlichere Informationen wie der Prozentsatz der überprüften Dateien und spezifische Fehlermeldungen angezeigt.
Außerdem kannst du dir für jede Konfiguration eines Tools für die code scanning die Regeln ansehen, auf deren Grundlage dein Code überprüft wurde, und eine Zusammenfassung der Ergebnisse herunterladen.
Note
Die Seite mit dem Toolstatus zeigt, wie Tools auf Repositoryebene funktionieren. Sie zeigt nicht, wie sie auf Organisationsebene funktionieren. Der Toolstatus wird nur für den Standardbranch des Repositorys angezeigt, für den das Tool konfiguriert ist.
Anzeigen der Seite mit dem Toolstatus für ein Repository
Die Seite für Codeüberprüfungswarnungen für jedes Repository enthält ein Toolbanner mit einer Zusammenfassung der Integrität deiner Codeüberprüfungsanalyse und der Möglichkeit, auf die Seite mit dem Toolstatus zuzugreifen, um dein Setup zu untersuchen.
- Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
- Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
- Klicken Sie in der Randleiste auf Code scanning.
- Klicke auf dem Toolbanner auf Toolstatus.
Verwenden der Seite mit dem Toolstatus
Auf der Seite mit dem Toolstatus wird eine Zusammenfassung für ein einzelnes Tool angezeigt. Dieses ist auf der Seitenleiste hervorgehoben. Über die Randleiste kannst du Zusammenfassungen für verschiedene Tools anzeigen.
Für integrierte Tools wie CodeQL wird ein Prozentsatz aller zuletzt überprüften Dateien in deinem Repository angezeigt, sortiert nach Programmiersprache. Informationen dazu, welche Dateien von CodeQL als überprüft betrachtet werden, findest du unter Definition überprüfter Dateien von CodeQL. Du kannst auch detaillierte Sprachberichte im CSV-Format herunterladen. Weitere Informationen findest du unter Herunterladen von Details der analysierten Dateien.
Es gibt drei mögliche Szenarien für den Toolstatus: Alle Konfigurationen funktionieren, für einige Konfigurationen sind Maßnahmen erforderlich, oder einige Konfigurationen funktionieren nicht.
Zugreifen auf detaillierte Informationen zu Tools
Wenn du dir ausführlichere Informationen für das derzeit angezeigte Tool ansehen möchtest, kannst du unter „Setuptypen“ ein bestimmtes Setup auswählen.
Unter „Konfigurationen“ auf der linken Seite des Bildschirms werden Informationen zu den einzelnen Analysen, die mit diesem Setuptyp durchgeführt wurden, sowie alle relevanten Fehlermeldungen angezeigt. Wenn du ausführliche Informationen zur zuletzt durchgeführten Analyse anzeigen möchtest, wähle auf der Seitenleiste eine Konfiguration aus. Du kannst Details dazu herunterladen, welche Regeln bei dieser Überprüfung des Codes angewendet und wie viele Warnungen von den einzelnen Regeln gefunden wurden. Weitere Informationen findest du unter Herunterladen von Listen mit den verwendeten Regeln.
In dieser Ansicht werden auch Fehlermeldungen angezeigt. Weitere Informationen findest du unter Debuggen mithilfe der Toolstatusseite.
Definition überprüfter Dateien von CodeQL
Eine Datei wird von CodeQL als überprüft gemeldet, wenn einige Codezeilen in der Datei verarbeitet wurden. Bei Verwendung einer Standardkonfiguration der CodeQL-Aktion enthalten die überprüften Dateien, die auf der Seite mit dem Toolstatus angezeigt werden, Quellcodedateien für alle Sprachen, die CodeQL analysieren kann. Bei Verwendung eines erweiterten Setups kannst du optional mithilfe der Konfigurationseigenschaften paths
und paths-ignore
definieren, welche Dateien für interpretierte Sprachen überprüft werden sollen. Weitere Informationen findest du unter Informationen zu Codescans mit CodeQL und Anpassen des erweiterten Setups für das Codescanning.
Für kompilierte Sprachen meldet die Seite mit dem Toolstatus Dateien, die vor dem Ausführen der automatischen Erstellung oder manueller Buildschritte vorhanden waren. Das bedeutet, dass Dateien, die während des Buildprozesses generiert werden, auf der Seite mit dem Toolstatus nicht angezeigt werden. Weitere Informationen finden Sie unter CodeQL-Codeüberprüfung für kompilierte Sprachen.
Auf der Seite mit dem Toolstatus wird der Prozentsatz der Dateien berechnet, die von CodeQL für jede von CodeQL unterstützte Sprache überprüft wurden. Dieser Prozentsatz berücksichtigt alle Dateien, die von den Konfigurationseigenschaften paths
und paths-ignore
ausgeschlossen werden.
Herunterladen von Details der analysierten Dateien
Für integrierte Tools wie CodeQL können über die Seite mit dem Toolstatus detaillierte Berichte im CSV-Format heruntergeladen werden. Darin ist Folgendes enthalten:
- Die Konfiguration, die zum Überprüfen der einzelnen Dateien verwendet wurde.
- Der Dateipfad.
- Die Programmiersprache der Datei.
- Die Angabe, ob die Datei erfolgreich extrahiert wurde.
Wähle zum Herunterladen eines Berichts das Tool aus, für das du dich interessierst. Klicke dann rechts oben auf der Seite auf die Schaltfläche .
Herunterladen von Listen mit den verwendeten Regeln
Du kannst die Liste mit den Regeln, die von der code scanning verwendet werden, im CSV-Format herunterladen. Darin ist Folgendes enthalten:
- Die verwendete Konfiguration.
- Die Regelquelle.
- Der SARIF-Bezeichner.
- Die Anzahl gefundener Warnungen.
Wähle zum Herunterladen eines Berichts die Konfiguration aus, für die du dich interessierst. Klicke dann rechts oben auf der Seite auf , und wähle Liste der verwendeten Regeln herunterladen aus.
Entfernen von Konfigurationen
Du kannst veraltete, doppelte oder unerwünschte Konfigurationen für den Standardbranch deines Repositorys entfernen.
Um eine Konfiguration zu entfernen, wähle die Konfiguration aus, die du löschen möchtest. Klicke dann rechts oben auf der Seite auf , und wähle Konfiguration löschen aus. Nachdem du die Warnung zu Warnungen gelesen hast, klicke auf die Schaltfläche Löschen, um den Löschvorgang zu bestätigen.
Note
Du kannst nur die Seite mit dem Toolstatus verwenden, um Konfigurationen für den Standardbranch eines Repositorys zu entfernen. Informationen zum Entfernen von Konfigurationen aus Nicht-Standardbranches findest du unter Problemlösung für Warnungen der Codeüberprüfung.
Debuggen mit der Seite mit dem Toolstatus
Wenn du auf der Warnungsseite der code scanning ein Problem mit deiner Analyse feststellst, kannst du das Problem mithilfe der Seite mit dem Toolstatus identifizieren. Für integrierte Tools werden im Abschnitt mit den ausführlichen Informationen spezifische Fehlermeldungen angezeigt, die sich auf bestimmte Tools für die code scanning beziehen. Diese Fehlermeldungen enthalten Informationen dazu, warum das Tool möglicherweise nicht wie erwartet funktioniert, sowie mögliche Maßnahmen. Weitere Informationen zum Zugriff auf diesen Abschnitt der Seite mit dem Toolstatus findest du unter Zugreifen auf detaillierte Informationen zu Tools.
Für integrierte Tools wie CodeQL kannst du auch Dateiabdeckungsinformationen verwenden, um deine Analyse zu verbessern. Für jede Sprache, die auf dem Seite mit dem Toolstatus angezeigt wird, gilt:
- Wenn die Sprache einen hohen gescannten Prozentsatz aufweist, zeigt dies, dass die Codeüberprüfung diese Sprache wie erwartet überprüft.
- Wenn der Prozentsatz an überprüften Dateien für die Sprache niedrig ist, musst du die Diagnoseausgabe untersuchen, die von CodeQL für diese Sprache erstellt wurde. Weitere Informationen findest du unter CodeQL hat weniger Zeilen überprüft als erwartet.
- Wenn der Prozentsatz für die Sprache 0 beträgt, enthält dein Repository möglicherweise Quellcode, der in Sprachen geschrieben wurde, die zwar von CodeQL unterstützt, aber derzeit nicht mit CodeQL analysiert werden. In diesem Fall solltest du dein Setup aktualisieren, um mit der Analyse dieser zusätzlichen Sprachen zu beginnen. Weitere Informationen finden Sie unter Anpassen des erweiterten Setups für das Codescanning.
Note
Wenn du CodeQL mit dem erweiterten Setup eingerichtet hast und dann das Standardsetup für das gleiche Repository einrichtest, wird auf der Seite mit dem Toolstatus nur das Standardsetup angezeigt.
Weitere Informationen findest du unter Problembehandlung bei der Codeüberprüfung und Problembehandlung bei SARIF-Uploads.