Skip to main content

此版本的 GitHub Enterprise 已停止服务 2022-10-12. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

关于代� �扫描

您可以使用 code scanning 在 GitHub 上查找项目中的安全漏洞和代� �错误。

Code scanning is available for organization-owned repositories in GitHub Enterprise Server. This feature requires a license for GitHub Advanced Security. 有关详细信息,请参阅“关于 GitHub Advanced Security”。

Note: Your site administrator must enable code scanning for your GitHub Enterprise Server instance before you can use this feature. For more information, see "Configuring code scanning for your appliance."

关于 code scanning

Code scanning 是一项功能,可用于分析 GitHub 仓库中的代� �,以查找安全漏洞和编� �错误。 分析发现的任何问题都显示在 GitHub Enterprise Server 中。

您可以使用 code scanning 来查找代� �中现有的问题,并且对其进行分类和确定修复的优先级。 Code scanning 还可防止开发者引入新问题。 � 可安排在特定日期和时间进行扫描,或在存储库中发生特定事件(例如推送)时触发扫描。

如果 code scanning 发现您的代� �中可能存在漏洞或错误,GitHub 会在仓库中显示警报。 在修复触发警报的代� �之后,GitHub 将关闭警报。 有关详细信息,请参阅“管理存储库的 code scanning 警报”。

要监控您的仓库或组织的 code scanning 结果,您可以使用 web 挂钩和 code scanning API。 有关用于 code scanning 的 Webhook 的信息,请参阅“Webhook 事件和有效负载”。 有关 API 终结点的信息,请参阅“Code scanning”。

若要开始使用 code scanning,请参阅“为存储库设置 code scanning”。

关于 code scanning 的工具

您可以将 code scanning 设置为使用由 GitHub 或第三方 code scanning 工具维护的 CodeQL 产品。

关于 CodeQL 分析

CodeQL 是 GitHub 开发的代� �分析引擎,用于自动执行安全检查。 可使用 CodeQL 分析代� �,并将结果显示为 code scanning 警报。 有关 CodeQL 的详细信息,请参阅“关于使用 CodeQL 进行代� �扫描”。

关于第三方 code scanning 工具

Code scanning 可与输出静态分析结果交换� �式 (SARIF) 数据的第三方代� �扫描工具互操作。 SARIF 是一个开放的� �准。 有关详细信息,请参阅“code scanning 的 SARIF 输出”。

您可以使用操作在 GitHub Enterprise Server 内或者在外部 CI 系统内运行第三方分析工具。 有关详细信息,请参阅“为存储库设置代� �扫描”或“将 SARIF 文件上� 到 GitHub”。