구성 code scanning 에 따라 결과가 끌어오기 요청에 대한 확인 결과 및 주석으로 표시될 수 있습니다. 자세한 내용은 코드 검사 경고 정보을(를) 참조하세요.
검사 결과 code scanning 보기
모든 code scanning 구성의 경우, code scanning의 결과를 포함하는 확인은 Code scanning 결과입니다. 사용되는 각 분석 도구의 결과는 별도로 표시됩니다. 끌어오기 요청의 변경된 코드 줄에 대한 모든 새로운 경고는 주석으로 표시됩니다.
**모든 분기 경고 보기**를 클릭하여 분석된 분기에 대한 전체 경고 세트를 볼 수 있습니다. 이렇게 하면 형식, 심각도, 태그 등을 기준으로 분기의 모든 경고를 필터링할 수 있는 전체 경고 보기가 열립니다. [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository#filtering-and-searching-for-code-scanning-alerts)에서 자세한 내용을 확인하세요.
검사 실패에 대한 심각도 수준 관리
검사 결과에서 code scanning의 심각도가 error, critical, 또는 high인 문제가 발견되면, 검사는 실패하며 오류가 검사 결과에 보고됩니다.
code scanning에서 발견된 모든 결과의 심각도가 낮으면, 경고가 주의나 메모로 처리되며 검사가 성공적으로 완료됩니다.
끌어오기 요청 확인 실패를 유발하는 심각도 및 보안 심각도 수준을 지정하여 리포지토리 설정의 기본 동작을 재정의할 수 있습니다. 자세한 내용은 코드 검색을 위한 워크플로 구성 옵션을(를) 참조하세요.
code scanning 구성 문제 진단
구성에 따라 code scanning이(가) 구성된 끌어오기 요청에서 추가 검사가 실행되는 것을 볼 수 있습니다. 일반적으로 코드를 분석하거나 결과를 업로드 code scanning 하는 워크플로입니다. 이러한 확인은 분석 관련 문제가 있을 때 해당 문제를 해결하는 데 유용합니다.
예를 들어, 리포지토리가 각 언어에 대해 CodeQL 분석 워크플로CodeQL 검사를 실행한 후에 결과 검사를 실행하는 경우입니다. 구성 문제가 있거나 끌어오기 요청이 분석에서 컴파일하는 언어(예 C/C++, C#, Go, Java, Kotlin, Rust, 및 Swift: )에 대한 빌드를 중단하는 경우 분석 검사가 실패할 수 있습니다.
다른 끌어오기 요청 검사와 마찬가지로, 검사 실패에 대한 전체 세부 정보는 검사 탭에서 볼 수 있습니다. 코드 검색을 위한 워크플로 구성 옵션 또는 코드 검사 분석 오류 문제 해결에서 구성 및 문제 해결에 대한 자세한 내용을 확인하세요.
끌어오기 요청에 대한 경고 보기
code scanning 탭을 보면 끌어오기 요청에 도입된 변경 내용의 차이 내에 있는 모든 **** 경고를 볼 수 있습니다. Code scanning 각 경고를 경고를 트리거한 코드 줄에 주석으로 표시하는 끌어오기 요청 검토를 게시합니다. 주석에서 직접 경고에 대해 주석을 달고, 경고를 해제하고, 경고의 경로를 볼 수 있습니다. "자세한 정보 표시" 링크를 클릭하여 경고 세부 정보 페이지로 이동하면 경고의 전체 세부 정보를 볼 수 있습니다.
파일 code scanning 끌어오기 요청에 도입된 변경 내용의 차이 내에 있는 모든 **** 경고를 볼 수도 있습니다.
끌어오기 요청에 새 코드 검색 구성을 추가하는 경우 끌어오기 요청 분기의 모든 경고를 볼 수 있도록 리포지토리 탭으로 안내하는 Security 끌어오기 요청에 대한 주석이 표시됩니다. 리포지토리에 대한 코드 검사 경고 평가에서 리포지토리에 대한 경고 보기의 자세한 정보를 확인하세요.
리포지토리에 대한 쓰기 권한이 있는 경우 일부 주석에는 경고에 대한 추가 컨텍스트가 있는 링크가 포함됩니다. 위의 예제에서 분석에서 CodeQL사용자 제공 값을 클릭하여 신뢰할 수 없는 데이터가 데이터 흐름에 들어오는 위치를 확인할 수 있습니다(원본이라고 함). 이 경우 경로 표시를 클릭하여 원본에서 데이터를 사용하는 코드(싱크)까지의 전체 경로를 볼 수도 있습니다. 이렇게 하면 데이터를 신뢰할 수 없는지 또는 분석에서 원본과 싱크 간의 데이터 삭제 단계를 인식하지 못했는지를 쉽게 확인할 수 있습니다. 데이터 흐름을 사용하여 CodeQL분석하는 방법에 대한 자세한 내용은 데이터 흐름 분석 정보를 참조하세요.
경고에 대한 자세한 내용을 보려면 쓰기 권한이 있는 사용자가 주석에 표시된 자세히 링크를 클릭할 수 있습니다. 이렇게 하면 경고 보기에서 도구가 제공하는 모든 컨텍스트 및 메타데이터를 볼 수 있습니다. 아래 예제에서는 문제에 대한 심각도, 형식 및 관련 CWE(Common Weakness Enumeration)를 보여 주는 태그를 볼 수 있습니다. 또한 보기에서는 문제가 발생한 커밋을 보여 줍니다.
경고 페이지에 있는 상태와 세부 정보는 경고가 다른 분기에 있는 경우에도 리포지토리의 기본 분기에 있는 경고의 상태만 반영합니다. 경고 페이지의 오른쪽에 있는 영향받는 분기 섹션에서 기본 분기가 아닌 분기에 대한 경고 상태를 볼 수 있습니다. 경고가 기본 분기에 없는 경우 경고 상태가 "끌어오기 요청 내" 또는 "분기 내"로 표시되고 회색으로 표시됩니다. Development 섹션에서는 경고를 수정할 연결된 분기 및 끌어오기 요청을 보여 줍니다.
경고에 대한 자세한 보기에서 code scanning 도구 중 일부는, 분석과 같이, 문제 설명과 코드를 수정하는 방법에 대한 안내가 포함된 더 보기 링크를 제공합니다.
끌어오기 요청에서 경고에 대한 주석 처리
끌어오기 요청에 표시되는 모든 code scanning 경고에 대해 주석을 달 수 있습니다. 끌어오기 요청 검토의 일부로 경고가 끌어오기 요청의 대화 탭에 주석으로 표시되며, 변경된 파일 탭에도 표시됩니다.
끌어오기 요청을 병합하기 전에 경고를 포함한 code scanning 끌어오기 요청의 모든 대화를 확인하도록 선택할 수 있습니다. 자세한 내용은 보호된 분기 정보을(를) 참조하세요.
끌어오기 요청에 대한 경고 수정
끌어오기 요청에 대한 푸시 액세스 권한이 있는 사용자는 해당 끌어오기 요청에서 식별되는 경고를 수정 code scanning 할 수 있습니다. 끌어오기 요청에 대한 변경 내용을 커밋하면 끌어오기 요청 확인의 새 실행이 트리거됩니다. 변경 내용으로 문제가 해결되면 경고가 종료되고 주석이 제거됩니다.
끌어오기 요청에 대한 경고 해제
경고를 종료하는 다른 방법은 경고를 해제하는 것입니다. 수정할 필요가 없다고 생각되면 경고를 해제할 수 있습니다. 예를 들어 테스트에만 사용되는 코드의 오류 또는 오류를 수정하는 데 드는 노력이 코드 개선의 잠재적 이점보다 큰 경우입니다. 리포지토리에 대한 쓰기 권한이 있는 경우 코드 주석 및 경고 요약에서 경고 해제 단추를 사용할 수 있습니다. 경고 해제 클릭 시, 프롬프트가 표시되어 경고 종료 이유를 선택해야 합니다.
쿼리가 향후 분석에 계속 포함될지 여부에 영향을 줄 수 있으므로 드롭다운 메뉴에서 적절한 이유를 선택하는 것이 중요합니다. 선택적으로 해제에 대한 주석을 달아 경고 해제의 컨텍스트를 기록할 수 있습니다. 해제 주석은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다. REST API를 검색하는 코드를 사용하여 주석을 검색하거나 설정할 수 있습니다. 주석은 dismissed_comment 엔드포인트에 대한 alerts/{alert_number}에 포함되어 있습니다. 자세한 내용은 코드 검색에 대한 REST API 엔드포인트을(를) 참조하세요.
예를 들어 코드에서 지원되지 않는 삭제 라이브러리를 사용하기 때문에 CodeQL 경고를 가양성 결과로 해제하는 경우 CodeQL 리포지토리에 기여하고 분석을 개선하는 것이 좋습니다. CodeQL에 대한 자세한 내용은 CodeQL에 기여를 참조하세요.
[AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/resolving-code-scanning-alerts#dismissing--alerts)에서 경고 해제에 대한 자세한 내용을 확인하세요.