# Bewertung von Code-Scanning-Warnungen für Ihr Repository

In der Sicherheitsansicht können Sie sich Warnungen genauer anschauen und im Hinblick auf potenzielle Schwachstellen oder Fehler im Code Ihres Projekts bewerten.

Jeder mit Leseberechtigung für ein Repository kann code scanning Anmerkungen zu Pull-Anforderungen sehen. Weitere Informationen findest du unter [Filtern von Codescanbenachrichtigungen in Pull-Anforderungen](/de/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests).

## Anzeigen der Warnungen für ein Repository

Sie benötigen schreibberechtigungen, um eine Zusammenfassung aller Warnungen für ein Repository auf der **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** Registerkarte anzuzeigen.

Standardmäßig wird die code scanning Warnungsseite so gefiltert, dass warnungen nur für den Standardzweig des Repositorys angezeigt werden.

1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

2. Klicken Sie unter dem Repositorynamen auf die **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** Registerkarte. Wenn die Registerkarte "<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality" nicht angezeigt wird, wählen Sie das **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="kebab-horizontal" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** Dropdownmenü aus, und klicken Sie dann auf **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**.

3. Klicke in der linken Randleiste auf **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-codescan" aria-label="codescan" role="img"><path d="M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z"></path><path d="M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z"></path></svg> Code scanning**.

4. Verwende optional das Feld für die Freitextsuche oder die Einblendmenüs, um Warnungen zu filtern. Sie können z. B. nach dem Tool filtern, das zum Identifizieren von Warnungen verwendet wurde. Verknüpfte GitHub Probleme werden zusammen mit den entsprechenden Warnungen in der Listenansicht angezeigt.

   ![Screenshot der Seite mit den Warnungen der code scanning. Das Suchfeld und die Filter-Einblendmenüs sind dunkelorangefarben umrandet.](/assets/images/help/repository/filter-code-scanning-alerts.png)

5. Klicke unter „Code scanning“ auf die Warnung, die du dir näher ansehen möchtest, um die Seite mit den detaillierten Warnungsinformationen anzuzeigen.
   Der Status und die Details auf der Warnungsseite spiegeln nur den Status der Warnung für den Standardbranch des Repositorys wider, auch wenn die Warnung in anderen Branches vorhanden ist. Du kannst den Status der Warnung für nicht standardmäßigen Branches im Abschnitt **Betroffene Branches** rechts auf der Warnungsseite sehen. Wenn eine Warnung im Standardbranch nicht vorhanden ist, wird der Status der Warnung als „in Pull Request“ oder „in Branch“ in grau angezeigt. Im Abschnitt **Development** werden verknüpfte Branches und Pull Requests angezeigt, die die Warnung beheben.

6. Wenn die Warnung auf ein Problem mit dem Datenfluss hinweist, klicke optional auf **Show paths** (Pfade anzeigen), um den Pfad von der Datenquelle zur Senke anzuzeigen, in der sie verwendet wird. Die Pfadansicht zeigt jeden Schritt im Datenfluss als nummerierte Liste an: von der Stelle, an der benutzerbereitgestellte Daten in den Code gelangen (die Quelle), bis zu der Stelle, an der sie in einer potenziell unsicheren Operation verwendet werden (die Senke).

   ![Screenshot einer code scanning-Warnung. Die Links „Pfade anzeigen“ und „Mehr anzeigen“ sind in Dunkelorange dargestellt.](/assets/images/help/repository/code-scanning-alert-details.png)

   Einige Warnungen identifizieren mehrere Pfade durch den Code, der die gleiche Sicherheitsanfälligkeit auslösen könnte. Wenn eine Warnung über mehrere Pfade verfügt, wird oberhalb der Pfadansicht eine Dropdownliste mit der Anzahl der verfügbaren Pfade angezeigt. Sie können jeden Pfad aus der Dropdownliste auswählen, um ihn einzeln zu überprüfen.

   ![Screenshot der Detailseite einer code scanning-Warnung mit dem Dropdownmenü „3 Pfade verfügbar“.](/assets/images/help/repository/multiple-paths-available.png)

7. Warnungen aus CodeQL der Analyse enthalten eine Beschreibung des Problems. Klicke auf **Mehr anzeigen**, um weitere Informationen dazu anzuzeigen, wie du den Code korrigierst.

8. Optional kannst du die Warnung einer Person zuweisen, die mithilfe des rechts angezeigten Steuerelements **Assignees** behoben werden soll. Weitere Informationen findest du unter [Zuweisen von Warnungen](/de/code-security/securing-your-organization/fixing-security-alerts-at-scale/about-security-campaigns#assigning-alerts).

Weitere Informationen findest du unter [Code-Scan-Warnungen](/de/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts).

> \[!NOTE]
> Informationen dazu, wann die code scanning-Analyse zuletzt auf der Toolstatusseite ausgeführt wurde, werden angezeigt. Weitere Informationen findest du unter [Verwenden der Toolstatusseite zum Scannen von Code](/de/code-security/code-scanning/managing-your-code-scanning-configuration/about-the-tool-status-page).

## Metriken für CodeQL Pull-Request-Benachrichtigungen für eine Organisation anzeigen

Für code scanning-Warnungen aus der CodeQL-Analyse können Sie mithilfe der Sicherheitsübersicht sehen, wie CodeQL in Pull-Requests in den Repositorys Ihrer Organisation mit Schreibzugriff abschneidet, und Repositorys identifizieren, in denen Sie möglicherweise aktiv werden müssen. Weitere Informationen findest du unter [Warnungsmetriken der CodeQL-Pullanforderung](/de/code-security/concepts/code-scanning/pull-request-alert-metrics).

## Filterung von code scanning-Warnungen

Sie können die in der code scanning Warnungsansicht angezeigten Warnungen filtern. Dies ist nützlich, wenn viele Warnungen vorhanden sind, da du dich auf einen bestimmten Warnungstyp konzentrieren kannst. Es gibt einige vordefinierte Filter und einen Bereich von Schlüsselwörtern, mit denen du die Liste der angezeigten Warnungen verfeinern kannst.

Wenn du ein Schlüsselwort aus einer Dropdownliste auswählst oder in das Suchfeld eingibst, werden nur Werte mit Ergebnissen angezeigt. Dadurch kannst du Filter vermeiden, die zu keinen Ergebnissen führen.

![Screenshot des Suchfelds in der Warnungsansicht. Im Feld ist „branch:dependabot“ eingetragen, und alle gültigen Branches mit einem übereinstimmenden Namen werden angezeigt.](/assets/images/help/repository/code-scanning-filter-keywords.png)

Wenn du mehrere Filter eingibst, werden in der Ansicht Warnungen angezeigt, die mit *allen* festgelegten Filtern übereinstimmen. Beispielsweise werden mit `is:closed severity:high branch:main` nur geschlossene Warnungen mit hohem Schweregrad angezeigt, die im `main`-Branch vorhanden sind. Die Ausnahme sind Filter im Zusammenhang mit Referenzen (`ref`, `branch` und `pr`): Mit `is:open branch:main branch:next` werden geöffnete Warnungen aus dem `main`-Branch und dem `next`-Branch angezeigt.

Beachte, dass, wenn du nach Warnungen in einem Nicht-Standardbranch gefiltert hast, dieselben Warnungen aber im Standardbranch vorhanden sind, die Warnungsseite für eine bestimmte Warnung trotzdem nur den Status der Warnung im Standardbranch anzeigt, auch wenn dieser Status mit dem Status in einem Nicht-Standardbranch in Widerspruch steht. So kann eine Warnung, die in der Liste „Offen“ in der Warnungsübersicht für `branch-x` auftaucht, auf der Warnungsseite den Status „Behoben“ haben, wenn die Warnung im Standardbranch bereits behoben ist. Du kannst den Status der Warnung für den Branch, den du gefiltert hast, im Abschnitt **Betroffene Branches** auf der rechten Seite der Warnungsseite einsehen.

Du kannst dem `tag` Filter `-` voranstellen, um Ergebnisse mit diesem Tag auszuschließen.
`-tag:style` zeigt beispielsweise nur Warnungen an, die nicht über das `style`-Tag verfügen.

### Beschränken von Ergebnissen nur auf Anwendungscode

Du kannst den Filter „Nur Warnungen im Anwendungscode“ oder `autofilter:true`-Schlüsselwort und -Wert verwenden, um Ergebnisse auf Warnungen im Anwendungscode einzuschränken. Weitere Informationen zu den Codetypen, die automatisch als Nicht-Anwendungscode bezeichnet werden, findest du unter [Code-Scan-Warnungen](/de/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts#about-labels-for-alerts-that-are-not-found-in-application-code).

## Suche nach code scanning Warnungen

Du kannst die Liste der Warnungen durchsuchen. Dies ist zum Beispiel nützlich, wenn es eine große Anzahl von Warnungen im Repository gibt oder wenn du den genauen Namen für eine Warnung nicht kennst.               GitHub führt die Freitextsuche durch:

* Der Name der Warnung
* Die Alarmdetails (dies umfasst auch die Informationen, die standardmäßig im ausklappbaren Abschnitt **Mehr anzeigen** ausgeblendet sind)

| Unterstützte Suche                                                               | Syntaxbeispiel      | Ergebnisse                                                                                    |
| -------------------------------------------------------------------------------- | ------------------- | --------------------------------------------------------------------------------------------- |
| Einzelwortsuche                                                                  | `injection`         | Gibt alle Warnungen zurück, die das Wort `injection` enthalten                                |
| Suche nach mehreren Wörtern                                                      | `sql injection`     | Gibt alle Warnungen zurück, die das Wort `sql` oder `injection` enthalten                     |
| Suchen nach genauen Übereinstimmungen</br>(doppelte Anführungszeichen verwenden) | `"sql injection"`   | Gibt alle Warnungen zurück, die die genaue Wortgruppe `sql injection` enthalten               |
| OR-Suche                                                                         | `sql OR injection`  | Gibt alle Warnungen zurück, die das Wort `sql` oder `injection` enthalten                     |
| AND-Suche                                                                        | `sql AND injection` | Gibt alle Warnungen zurück, die sowohl das Wort `sql` als auch das Wort `injection` enthalten |

> \[!TIP]
>
> * Die Suche nach mehreren Wörtern entspricht einer OR-Suche.
> * Bei der AND-Suche werden Ergebnisse zurückgegeben, in denen die Suchbegriffe *an beliebiger Stelle* ungeachtet der Reihenfolge im Warnungsnamen oder in den Warnungsdetails gefunden werden.

1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
2. Klicken Sie unter dem Repositorynamen auf die **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** Registerkarte. Wenn die Registerkarte "<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality" nicht angezeigt wird, wählen Sie das **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="kebab-horizontal" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** Dropdownmenü aus, und klicken Sie dann auf **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**.
3. Klicke in der linken Randleiste auf **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-codescan" aria-label="codescan" role="img"><path d="M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z"></path><path d="M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z"></path></svg> Code scanning**.
4. Gib rechts neben dem Dropdownmenü **Filter** im Feld für die Freitextsuche die Schlüsselwörter ein, nach denen gesucht werden soll.

![Screenshot des Suchfelds in der Warnungsansicht. Im Feld sind die vordefinierten Filter „is: open branch:main“ und der freie Text „sql or injection“ hervorgehoben.](/assets/images/help/repository/code-scanning-search-alerts.png)

1. Drücke die <kbd>EINGABETASTE</kbd>. Die Warnungsauflistung enthält die geöffneten code scanning Warnungen, die Ihren Suchkriterien entsprechen.

## Überprüfen von Antworten auf code scanning-Warnungen

Du kannst die Aktionen, die als Reaktion auf code scanning-Warnungen ergriffen wurden, mit GitHub-Tools überprüfen. Weitere Informationen finden Sie unter [Prüfen von Sicherheitswarnungen](/de/code-security/getting-started/auditing-security-alerts).

## Weiterführende Lektüre

* [Lösen von Code-Scan-Warnungen](/de/code-security/code-scanning/managing-code-scanning-alerts/resolving-code-scanning-alerts)
* [Filtern von Codescanbenachrichtigungen in Pull-Anforderungen](/de/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests)
* [Konfigurieren des Standardsetups für das Code-Scanning](/de/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning)
* [Integration mit Code-Scanning](/de/code-security/code-scanning/integrating-with-code-scanning/about-integration-with-code-scanning)