关于代码扫描

您可以使用 代码扫描 在 GitHub 上查找项目中的安全漏洞和代码错误。

代码扫描 适用于启用了 GitHub Advanced Security 的组织拥有的仓库。 更多信息请参阅“关于 GitHub Advanced Security”。

注:站点管理员必须为 您的 GitHub Enterprise Server 实例 启用 代码扫描,然后您才可使用此功能。 更多信息请参阅“为设备配置 代码扫描”。

关于 代码扫描

代码扫描 是一项功能,可用于分析 GitHub 仓库中的代码,以查找安全漏洞和编码错误。 分析发现的任何问题都显示在 GitHub Enterprise Server 中。

您可以使用 代码扫描 来查找代码中现有的问题,并且对其进行分类和确定修复的优先级。 代码扫描 还可防止开发者引入新问题。 您可以计划在特定的日期和时间进行扫描,或在仓库中发生特定事件(如推送)时触发扫描。

如果 代码扫描 发现您的代码中可能存在漏洞或错误,GitHub 会在仓库中显示警报。 在修复触发警报的代码之后,GitHub 将关闭警报。 更多信息请参阅“管理仓库的 代码扫描 警报”。

要监控您的仓库或组织的 代码扫描 结果,您可以使用 web 挂钩和 代码扫描 API。 有关用于 代码扫描 的 web 挂钩的信息,请参阅“web 挂钩事件和有效负载”。 有关 API 端点的信息,请参阅“代码扫描”。

要开始 代码扫描,请参阅“为仓库设置 代码扫描”。

About tools for 代码扫描

You can set up 代码扫描 to use the CodeQL product maintained by GitHub or a third-party 代码扫描 tool.

About CodeQL analysis

CodeQL is the code analysis engine developed by GitHub to automate security checks. You can analyze your code using CodeQL and display the results as 代码扫描 alerts. For more information about CodeQL, see "About code scanning with CodeQL."

关于第三方 代码扫描 工具

代码扫描 可与输出静态分析结果交换格式 (SARIF) 数据的第三方代码扫描工具互操作。 SARIF 是一个开放的标准。 更多信息请参阅“代码扫描 的 SARIF 输出。”

您可以使用操作在 GitHub Enterprise Server 内或者在外部 CI 系统内运行第三方分析工具。 更多信息请参阅“设置仓库的代码扫描”或“将 SARIF 文件上传到 GitHub”。

此文档对您有帮助吗?

隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。