# Оценка оповещений сканирования кода для репозитория

В представлении безопасности можно изучить и оценить оповещения о потенциальных уязвимостях или ошибках в коде проекта.

Любой, у кого есть разрешение на чтение репозитория, может видеть code scanning аннотации в pull requests. Дополнительные сведения см. в разделе [Рассмотрение оповещений проверки кода в запросах на вытягивание](/ru/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests).

## Просмотр оповещений в репозитории

Вам нужно разрешение на запись, чтобы просматривать сводку всех оповещений для репозитория на **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** вкладке.

По умолчанию code scanning страница оповещений фильтруется так, чтобы показывать оповещения только для стандартной ветки репозитория.

1. На GitHubперейдите на главную страницу репозитория.

2. Под названием репозитория нажмите на **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** вкладку. Если вы не видите вкладку «<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality» — выберите **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="kebab-horizontal" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** выпадающее меню и нажмите **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**.

3. На левой боковой панели щелкните **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-codescan" aria-label="codescan" role="img"><path d="M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z"></path><path d="M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z"></path></svg> Code scanning**.

4. При необходимости используйте поле свободного текстового поиска или раскрывающееся меню для фильтрации оповещений. Например, можно отфильтровать по инструменту, который использовался для идентификации оповещений. Связанные GitHub проблемы отображаются вместе с соответствующими уведомлениями в списке.

   ![Снимок экрана: страница оповещений code scanning. Поле поиска и раскрывающееся меню фильтров описаны в темно-оранжевый цвет.](/assets/images/help/repository/filter-code-scanning-alerts.png)

5. В разделе "Code scanning" щелкните оповещение, которое вы хотите просмотреть, чтобы отобразить подробную страницу оповещений.
   Состояние и сведения на странице оповещений отражают состояние оповещения только в ветви репозитория по умолчанию, даже если это оповещение существует в других ветвях. Состояние оповещения в ветвях, не являющихся ветвью по умолчанию, отображается в разделе **Затронутые ветви** в правой части страницы оповещений. Если оповещение не существует в ветви по умолчанию, его состояние оповещения отображается как "в запросе на вытягивание" или "в ветки" и выделяется серым цветом. В **разделе "Разработка** " показаны связанные ветви и запросы на вытягивание, которые исправят оповещение.

6. Если в оповещении выделена проблема с потоком данных, щелкните **Показать пути**, чтобы отобразить путь из источника данных к приемнику, где используется этот поток. Вид пути показывает каждый шаг в потоке данных в виде пронумерованного списка — от момента, когда пользовательские данные поступают в код (источник), до того момента, когда они используются в потенциально опасной операции (поглотитель).

   ![Снимок экрана: оповещение code scanning. Ссылки "Показать пути" и "Показать больше" описаны в темно-оранжевый цвет.](/assets/images/help/repository/code-scanning-alert-details.png)

   Некоторые оповещения выявляют несколько путей через код, которые могут вызвать одну и ту же уязвимость. Если у оповещения несколько путей, над просмотром пути появляется выпадающее меню с указанием количества доступных путей. Вы можете выбрать каждый путь в выпадающем меню, чтобы просматривать его отдельно.

   ![Скриншот страницы оповещений code scanning с выпадающим списком путей с «доступными 3 путями».](/assets/images/help/repository/multiple-paths-available.png)

7. Оповещения из CodeQL анализа включают описание проблемы. Нажмите кнопку **Дополнительно**, чтобы узнать, как исправить код.

8. При необходимости назначьте оповещение кому-то для исправления с помощью **элемента управления "Назначаемые"** справа, см [. статью "Назначение оповещений](/ru/code-security/securing-your-organization/fixing-security-alerts-at-scale/about-security-campaigns#assigning-alerts)".

Дополнительные сведения см. в разделе [Оповещения о проверке кода](/ru/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts).

> \[!NOTE]
> Информацию о последнем code scanning анализе можно увидеть на странице статуса инструмента. Дополнительные сведения см. в разделе [Используйте страницу статуса инструмента для сканирования кода](/ru/code-security/code-scanning/managing-your-code-scanning-configuration/about-the-tool-status-page).

## Просмотр метрик для CodeQL уведомлений о pull request-запросах для организации

Для code scanning получения оповещений от CodeQL анализа вы можете использовать обзор безопасности, чтобы увидеть, как CodeQL работает pull request в репозиториях, где у вас есть доступ к записи по всей организации, а также определить репозитории, где может понадобиться действия. Дополнительные сведения см. в разделе [Метрики оповещений о pull request в CodeQL](/ru/code-security/concepts/code-scanning/pull-request-alert-metrics).

## Уведомления о code scanning фильтрации

Вы можете фильтровать оповещения, отображаемые в виде code scanning оповещений. Это полезно, когда нужно выделить определенный тип оповещений. Для уточнения списка отображаемых оповещений можно использовать ряд стандартных фильтров и ключевых слов.

При выборе ключевого слова из раскрывающегося списка или при вводе ключевого слова в поле поиска отображаются только значения с результатами. Это упрощает настройку фильтров, которые не находят результатов.

![Снимок экрана: поле поиска в представлении оповещений. Поле содержит branch:dependabot, а все допустимые ветви с соответствующим именем отображаются.](/assets/images/help/repository/code-scanning-filter-keywords.png)

Если ввести несколько фильтров, в представлении будут отображаться оповещения, соответствующие *всем* этим фильтрам. Например, с фильтром `is:closed severity:high branch:main` будут отображаться только закрытые оповещения с высоким уровнем серьезности в ветви `main`. Исключение составляют фильтры, относящиеся к ссылкам (`ref`, `branch` и `pr`): например, с фильтром `is:open branch:main branch:next` отображаются открытые оповещения как из ветви `main`, так и из ветви `next`.

Обратите внимание: если оповещения, отфильтрованные в ветви, отличной от используемой по умолчанию, присутствуют в ветви по умолчанию, на странице оповещений для любого такого оповещения по-прежнему будет отражаться состояние из ветви по умолчанию, даже если оно конфликтует с состоянием в ветви, отличной от используемой по умолчанию. Например, для оповещения, которое присутствует в списке "Открыто" в сводке оповещений для ветви `branch-x`, на странице оповещений может отображаться состояние "Исправлено", если это оповещение уже исправлено в ветви по умолчанию. Состояние оповещения для ветви, к которой применен фильтр, можно просмотреть в разделе **Затронутые ветви** в правой части страницы оповещений.

К фильтру `tag` можно добавить префикс `-`, чтобы исключить результаты с этим тегом. Например, `-tag:style` отображаются только оповещения, не имеющие тега `style` .

### Ограничение результатов только кодом приложения

С помощью фильтра "Оповещения только в коде приложения" или ключевого слова `autofilter:true` со значением можно ограничить результаты оповещениями в коде приложения. Дополнительные сведения о типах кода, которые автоматически помечены как не код приложения, см. в разделе [Оповещения о проверке кода](/ru/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts#about-labels-for-alerts-that-are-not-found-in-application-code).

## Оповещения о поиске code scanning

В списке оповещений можно выполнять поиск. Это полезно, если в репозитории имеется много оповещений или если вы не знаете точное имя оповещения.
GitHub выполняет поиск по свободному тексту:

* Имя оповещения
* Сведения об оповещении (это также включает сведения, скрытые из представления по умолчанию в **разделе "Показать больше** сворачивания")

| Вид поиска                                                  | Пример синтаксиса   | Results                                                              |
| ----------------------------------------------------------- | ------------------- | -------------------------------------------------------------------- |
| Поиск по одному слову                                       | `injection`         | Возвращает все оповещения, содержащие слово `injection`              |
| Поиск по нескольким словам                                  | `sql injection`     | Возвращает все оповещения, содержащие слова `sql` или `injection`    |
| Поиск точного совпадения</br>(используются двойные кавычки) | `"sql injection"`   | Возвращает все оповещения, содержащие точную фразу `sql injection`   |
| Поиск с оператором OR                                       | `sql OR injection`  | Возвращает все оповещения, содержащие слова `sql` или `injection`    |
| Поиск с оператором AND                                      | `sql AND injection` | Возвращает все оповещения, содержащие оба слова: `sql` и `injection` |

> \[!TIP]
>
> * Поиск по нескольким словам эквивалентен поиску с оператором OR.
> * Поиск с оператором AND возвращает результаты, в которых слова из поискового запроса находятся в имени оповещения или в сведениях о нем\_в любом месте\_ и в любом порядке.

1. На GitHubперейдите на главную страницу репозитория.
2. Под названием репозитория нажмите на **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** вкладку. Если вы не видите вкладку «<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality» — выберите **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="kebab-horizontal" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** выпадающее меню и нажмите **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**.
3. На левой боковой панели щелкните **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-codescan" aria-label="codescan" role="img"><path d="M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z"></path><path d="M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z"></path></svg> Code scanning**.
4. Справа от раскрывающихся меню **Фильтры** введите в поле поиска произвольного текста ключевые слова, которые нужно найти.

![Снимок экрана: поле поиска в представлении оповещений. Поле содержит предварительно определенные фильтры "is: open branch:main" и свободный текст выделенного "sql или внедрения".](/assets/images/help/repository/code-scanning-search-alerts.png)

1. Нажмите клавишу <kbd>RETURN</kbd>. Список оповещений будет содержать открытые code scanning оповещения, соответствующие вашим критериям поиска.

## Аудит ответов на code scanning оповещения

Вы можете проверить действия, выполненные в ответ на оповещения code scanning с помощью средств GitHub. Дополнительные сведения см. в разделе [Аудит оповещений системы безопасности](/ru/code-security/getting-started/auditing-security-alerts).

## Дополнительные материалы

* [Разрешение оповещений сканирования кода](/ru/code-security/code-scanning/managing-code-scanning-alerts/resolving-code-scanning-alerts)
* [Рассмотрение оповещений проверки кода в запросах на вытягивание](/ru/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests)
* [Настройка настройки по умолчанию для сканирования кода](/ru/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning)
* [Интеграция с сканированием кода](/ru/code-security/code-scanning/integrating-with-code-scanning/about-integration-with-code-scanning)