Verwenden der Toolstatusseite zum Scannen von Code

Zeigen Sie den Echtzeit-Toolstatus an, identifizieren Sie Konfigurationsprobleme, und laden Sie Berichte herunter, um Ihre code scanning Analyse reibungslos zu halten.

Wer kann dieses Feature verwenden?

Benutzer*innen mit Schreibzugriff

Code scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys auf GitHub.com
  • Organisationseigene Repositorys für GitHub Team, GitHub Enterprise Cloud oder GitHub Enterprise Server, wobei GitHub Code Security aktiviert sind.

In diesem Artikel

Hinweis

Der Websiteadministrator muss code scanning aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen finden Sie unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.

Möglicherweise kannst du code scanning nicht aktivieren oder deaktivieren, wenn Unternehmensbesitzende eine GitHub Code Security-Richtlinie auf Unternehmensebene festgelegt haben. Weitere Informationen finden Sie unter Implementierung von Richtlinien zur Codesicherheit und -analyse für Ihr Unternehmen.

Die Seite mit dem Toolstatus zeigt Informationen zu allen Code-Scantools und ist ein guter Ausgangspunkt zum Beheben von Problemen. Weitere Informationen dazu, was das Tool ist und welche Informationen es bereitstellt, finden Sie unter Informationen zur Toolstatusseite.

Anzeigen des Seite mit dem Toolstatus Repositorys

Die code scanning Benachrichtigungsseite für jedes Repository enthält ein Werkzeug-Banner mit einer Zusammenfassung des Zustands Ihrer Codescananalyse und bietet Zugriff auf die Seite mit dem Toolstatus, um Ihre Einrichtung zu erkunden.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke in der linken Randleiste auf Code scanning.

  4. Klicke auf dem Toolbanner auf Toolstatus.

           ![Screenshot: Zugreifen auf die Toolstatusseite in einem Repository. Die Schaltfläche „Toolstatus“ ist dunkelorange umrandet.](/assets/images/help/repository/code-scanning-tool-status-page-access.png)

Verwenden des Seite mit dem Toolstatuss

In der Seite mit dem Toolstatus sehen Sie eine Zusammenfassung für ein Tool, das in der Seitenleiste hervorgehoben ist. Über die Randleiste kannst du Zusammenfassungen für verschiedene Tools anzeigen.

Screenshot der Tool-Statusseite, auf der das Tool CodeQL ausgewählt ist.

Für integrierte Tools wie CodeQL können Sie einen Prozentsatz aller Dateien sehen, die zuletzt in Ihrem Repository gescannt wurden und nach Programmiersprache organisiert sind. Du kannst auch detaillierte Sprachberichte im CSV-Format herunterladen. Details zu den analysierten Dateien finden Sie unter "Herunterladen".

Zugreifen auf detaillierte Informationen zu Tools

Wenn Sie sich ausführlichere Informationen für das derzeit angezeigte Tool ansehen möchten, können Sie unter „Setup-Typen“ ein bestimmtes Setup auswählen.

Unter „Konfigurationen“ auf der linken Seite des Bildschirms werden Informationen zu den einzelnen Analysen, die mit diesem Setup-Typ durchgeführt wurden, sowie alle relevanten Fehlermeldungen angezeigt. Wenn du ausführliche Informationen zur zuletzt durchgeführten Analyse anzeigen möchtest, wähle auf der Seitenleiste eine Konfiguration aus. Du kannst Details dazu herunterladen, welche Regeln bei dieser Überprüfung des Codes angewendet und wie viele Warnungen von den einzelnen Regeln gefunden wurden. Weitere Informationen finden Sie unter Herunterladen von Listen mit den verwendeten Regeln.

Screenshot mit detaillierten Informationen zu CodeQL auf der Tool-Statusseite.

In dieser Ansicht werden auch Fehlermeldungen angezeigt. Weitere Informationen finden Sie unter Debuggen mit der Toolstatusseite.

Herunterladen von Details der analysierten Dateien

Für integrierte Tools wie CodeQLz. B. können Sie detaillierte Berichte aus dem Seite mit dem Toolstatus CSV-Format herunterladen. Darin ist Folgendes enthalten:

  • Welche Konfiguration zum Scannen der einzelnen Dateien verwendet wurde
  • Der Dateipfad
  • Die Programmiersprache der Datei
  • Gibt an, ob die Datei erfolgreich extrahiert wurde.

Wähle zum Herunterladen eines Berichts das Tool aus, für das du dich interessierst. Klicken Sie dann oben rechts auf der Seite auf die Schaltfläche.

Herunterladen von Listen mit den verwendeten Regeln

Sie können die Liste der Regeln code scanning herunterladen, die überprüft werden, im CSV-Format. Darin ist Folgendes enthalten:

  • Die verwendete Konfiguration
  • Die Regelquelle
  • Der SARIF-Bezeichner
  • Wie viele Warnungen gefunden wurden

Wähle zum Herunterladen eines Berichts die Konfiguration aus, für die du dich interessierst. Klicken Sie dann oben rechts auf der Seite, und wählen Sie "Liste der verwendeten Regeln herunterladen" aus.

Entfernen von Konfigurationen

Sie können veraltete, doppelte oder unerwünschte Konfigurationen für den Standard-Branch deines Repositorys entfernen.

Um eine Konfiguration zu entfernen, wähle die Konfiguration aus, die du löschen möchtest. Klicken Sie dann oben rechts auf der Seite, und wählen Sie "Konfiguration löschen" aus. Nachdem du die Warnung zu Warnungen gelesen hast, klicke auf die Schaltfläche Löschen, um den Löschvorgang zu bestätigen.

Hinweis

Sie können die Konfigurationen nur mit Seite mit dem Toolstatus für den Standardzweig eines Repositorys entfernen. Informationen zum Entfernen von Konfigurationen aus nicht standardmäßigen Branches finden Sie unter Lösen von Code-Scan-Warnungen.

Debuggen mithilfe der Toolstatusseite

Wenn Sie feststellen, dass es ein Problem mit Ihrer Analyse auf der code scanning Benachrichtigungsseite gibt, können Sie das Seite mit dem Toolstatus verwenden, um das Problem zu identifizieren. Für integrierte Tools können Sie bestimmte Fehlermeldungen im Abschnitt "Detaillierte Informationen" im Zusammenhang mit bestimmten code scanning Tools anzeigen. Diese Fehlermeldungen enthalten Informationen dazu, warum das Tool möglicherweise nicht wie erwartet funktioniert, sowie mögliche Maßnahmen. Weitere Informationen dazu, wie Sie auf diesen Abschnitt des Seite mit dem ToolstatusAbschnitts zugreifen, finden Sie unter Zugreifen auf detaillierte Informationen zu Tools.

Für integrierte Tools wie CodeQLz. B. können Sie auch Dateiabdeckungsinformationen verwenden, um Ihre Analyse zu verbessern. Weitere Informationen zum Interpretieren von Dateiabdeckungsprozentsätzen finden Sie unter Informationen zur Toolstatusseite.

Weitere Informationen findest du unter Behebung von Fehlern bei der Code-Scan-Analyse und Problembehandlung bei SARIF-Uploads.