我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

管理来自代码扫描的警报

您可以查看、修复和关闭项目代码中潜在漏洞或错误的警报。

拥有仓库写入权限的人可管理仓库的 代码扫描 警报。

本文内容

Did this doc help you?

注意:代码扫描 目前处于测试阶段,可能会更改。 To request access to the beta, join the waitlist.

关于 代码扫描 中的警报

After you enable 代码扫描, GitHub displays 代码扫描 alerts in your repository. 默认 代码扫描 工作流程使用 on.push 事件触发代码扫描 - 每次推送到任何包含工作流程文件的分支时触发。

Each alert highlights a problem with the code and the name of the tool that identified it. 您可以看到触发警报的代码行以及警报的属性,例如问题的严重程度和性质。 警报还会告知该问题第一次被引入的时间。 For alerts identified by CodeQL analysis, you will also see information on how to fix the problem.

来自 代码扫描 的警报示例

如果不执行警报建议的操作,可以手动关闭警报。 例如,您可以关闭用于测试的代码的警报,或者您认为是误报的警报。 如果修复编码错误的成本大于改进代码的潜在利益,您可能还希望关闭警报。

默认情况下,GitHub 显示默认分支和任何受保护分支的警报。 您可以对警报列表进行排序和过滤,只查看您感兴趣的警报。

您可以查看拉取请求中引入的警报,并立即采取措施。 当 代码扫描 在拉取请求中找到漏洞或错误时,GitHub 会在时间线中显示注释,并显示拉取请求的差异视图。

If you enable 代码扫描 using CodeQL, this can also detect data-flow problems in your code. Data-flow analysis finds potential security issues in code, such as: using data insecurely, passing dangerous arguments to functions, and leaking sensitive information.

当 代码扫描 报告数据流警报时,GitHub 将显示数据在代码中如何移动。 代码扫描 allows you to identify the areas of your code that leak sensitive information, and that could be the entry point for attacks by malicious users.

您可以将 SARIF 文件从第三方静态分析工具上传到 GitHub,并且在仓库中看到 代码扫描 来自这些工具的警报。 要开始,请参阅“将 SARIF 文件上传到 GitHub”。

If you scan your code using a third-party tool or scan your code with custom CodeQL queries, GitHub will only use the supported SARIF 2.1.0 properties to display alerts. 第三方工具或自定义查询的结果可能不包括在使用 GitHub 默认 CodeQL 查询扫描代码时看到的所有属性。 更多信息请参阅“代码扫描 的 SARIF 支持”。

查看警报

  1. 在 GitHub 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)
    Security 选项卡
  3. 在左侧边栏中,单击 Code scanning alerts(代码扫描警报)。 (可选)选择您使用的代码扫描工具。
    "Code scanning alerts(代码扫描警报)" 选项卡
  4. 在“Code Scanning(代码扫描)”下,单击要查看的警报。
    来自 代码扫描 的警报列表
  5. (可选)如果警报突出显示数据流的问题,单击 Show paths(显示路径)可查看数据的路径。
    数据流警报示例

关闭警报

  1. 在 GitHub 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)
    Security 选项卡
  3. 在左侧边栏中,单击 Code scanning alerts(代码扫描警报)。 (可选)选择您使用的代码扫描工具。
    "Code scanning alerts(代码扫描警报)" 选项卡
  4. 在“Code Scanning(代码扫描)”下,单击要查看的警报。
    来自 代码扫描 的警报列表
  5. 使用“Close(关闭)”下拉菜单,单击关闭警报的原因。
    选择通过 "Close(关闭)"下拉菜单关闭警报的原因

延伸阅读

Did this doc help you?