注意
网站管理员必须启用 code scanning,然后你才能使用此功能。 有关详细信息,请参阅“为设备配置代码扫描”。
如果企业所有者在企业级别设置了 GitHub Advanced Security 策略,则你可能无法启用或禁用 code scanning。 有关详细信息,请参阅“强制实施企业的代码安全性和分析策略”。
工具状态页 显示有关所有代码扫描工具的信息,是调试问题的很好起点。 有关该工具及其提供的信息的详细信息,请参阅 [AUTOTITLE](/code-security/concepts/code-scanning/tool-status-page)。
查看工具状态页的存储库
code scanning每个存储库的警报页包含一个工具栏,其中包括代码扫描分析健康状况的摘要,并可以访问工具状态页以浏览您的设置。
-
在 GitHub 上,导航到存储库的主页面。
-
在仓库名称下,单击 “Security”****。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。
-
在左边栏中,单击“ Code scanning”****。
-
单击工具横幅中的“工具状态”****。
使用 工具状态页
在工具状态页中,你将看到一个工具的摘要,该工具在侧边栏中被突出显示。 可以使用边栏查看不同工具的摘要。
对于集成工具 CodeQL,您可以查看存储库中最近扫描的所有文件的总百分比,并按编程语言进行组织。 还可以下载 CSV 格式的详细语言报表。 请参阅 下载分析的文件的详细信息。
访问有关工具的详细信息
如果想查看当前显示工具的更多详细信息,可以在“设置类型”下选择特定设置。
在屏幕左侧的“配置”下,可以看到按此设置类型运行的每个分析的信息,以及任何相关的错误消息。 要查看有关最近分析运行的详细信息,请在边栏中选择一个配置。 可以下载详细信息,了解在该代码扫描中具体运行了哪些规则,以及每个规则发现的警报数。 有关详细信息,请参阅下载使用的规则列表。
此视图还将显示错误消息。 有关详细信息,请参阅使用工具状态页进行调试。
下载已分析文件的详细信息
对于集成工具 CodeQL,你可以从 工具状态页 CSV 格式下载详细的报告。 这会显示:
- 用于扫描每个文件的配置
- 文件路径
- 文件的编程语言
- 文件是否已成功提取
要下载报表,请选择一个感兴趣的工具。 然后在页面右上角单击 该按钮。
下载使用的规则列表
你可以下载 code scanning 正在用于检查的规则列表,以 CSV 格式提供。 这会显示:
- 所使用的配置
- 规则源
- SARIF 标识符
- 找到了多少个警报
要下载报表,请选择一个感兴趣的配置。 然后单击 页面右上角,然后选择 所使用的规则下载列表。
删除配置
可以删除存储库默认分支的过时、重复或不需要的配置。
要删除配置,请选择要删除的配置。 然后单击 页面右上角,然后选择“ 删除配置”。 阅读完有关警报的警告后,要确认删除,请单击“删除”**** 按钮。
注意
只能使用 工具状态页 删除存储库的默认分支配置。 有关从非默认分支删除配置的信息,请参阅 解决代码扫描警报。
使用工具状态页进行调试
如果发现警报页面中的分析 code scanning 存在问题,可以使用该 工具状态页 页来识别问题。 对于集成工具,可以在详细信息部分看到与特定工具相关的特定 code scanning 错误消息。 这些错误消息包含有关工具未按预期执行的原因以及你可以采取的措施的信息。 有关如何访问本部分 工具状态页的详细信息,请参阅 访问有关工具的详细信息。
对于集成工具 CodeQL,还可以使用文件覆盖率信息来改进分析。 有关解释文件覆盖率百分比的详细信息,请参阅 关于工具状态页面。
有关详细信息,请参阅 代码扫描分析错误疑难解答 和 排查 SARIF 上传问题。