Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt.
Mit der code scanning kannst du in deinem Code Probleme suchen, selektieren und deren Behandlung priorisieren. Code scanning verhindert auch, dass Entwickler*innen neue Probleme schaffen. Du kannst Überprüfungen für bestimmte Tage und Uhrzeiten planen oder Überprüfungen durchführen, wenn im Repository ein bestimmtes Ereignis auftritt, z. B. ein Push.
Wenn die code scanning ein mögliches Sicherheitsrisiko oder einen Fehler in deinem Code findet, zeigt GitHub eine Warnung im Repository an. Nachdem du den Code korrigiert hast, der die Meldung ausgelöst hat, schließt GitHub die Meldung. Weitere Informationen finden Sie unter Problemlösung für Warnungen der Codeüberprüfung.
GitHub Copilot Autofix schlägt Korrekturen für Warnungen aus code scanning-Analysen in privaten Repositorys vor. So können Entwickler*innen Sicherheitsrisiken mit weniger Aufwand verhindern und verringern. Weitere Informationen finden Sie unter Verantwortungsvolle Verwendung von Copilot Autofix für die Codeüberprüfung.
Um die Ergebnisse der code scanning in deinen Repositorys oder deiner Organisation zu überwachen, kannst du Webhooks und die code scanning-API verwenden. Informationen zu den Webhooks für code scanning findest du unter Webhook-Ereignisse und -Nutzlasten. Informationen zu API-Endpunkten findest du unter REST-API-Endpunkte für die Codeüberprüfung.
Informationen zu den ersten Schritten mit code scanning findest du unter Konfigurieren des Standardsetups für das Codescanning.
Informationen zur Abrechnung für die code scanning
Die Code scanning verwendet GitHub Actions, und jede Ausführung eines code scanning-Workflows verbraucht Minuten für GitHub Actions. Weitere Informationen finden Sie unter Informationen zur Abrechnung für GitHub Actions.
Zur Verwendung von code scanning in einem privaten Repository ist auch eine Lizenz für GitHub Advanced Security erforderlich. Informationen zum kostenlosen Testen von GitHub Enterprise mit GitHub Advanced Security sind unter „Eine Testversion von GitHub Enterprise einrichten“ und „Einrichten einer Testversion von GitHub Advanced Security“ in der GitHub Enterprise Cloud-Dokumentation zu finden.
Informationen zu Tools für die code scanning
Du kannst code scanning konfigurieren, um das CodeQL-Produkt zu verwenden, das von GitHub oder einem Drittanbietertool für code scanning verwaltet wird.
Informationen zur CodeQL-Analyse
CodeQL ist die von GitHub entwickelte Codeanalyse-Engine zum Automatisieren von Sicherheitsprüfungen. Du kannst deinen Code mithilfe von CodeQL analysieren und die Ergebnisse als code scanning-Warnungen anzeigen. Weitere Informationen zu CodeQL findest du unter Informationen zu Codescans mit CodeQL.
Informationen zu code scanning-Tools von Drittanbietern
Code scanning ist mit Code-Scan-Werkzeugen von Drittanbietern interoperabel, welche SARIF-Daten (Static Analysis Results Interchange Format) ausgeben. SARIF ist ein Open-Source-Standard. Weitere Informationen findest du unter SARIF-Unterstützung für die Codeüberprüfung.
Du kannst Analysetools von Drittanbietern innerhalb von GitHub mithilfe von Aktionen oder innerhalb eines externen CI-Systems ausführen. Weitere Informationen findest du unter Konfigurieren des erweiterten Setups für das Codescanning und Hochladen einer SARIF-Datei in GitHub.
Informationen zur Seite mit dem Toolstatus
Die Seite mit dem Toolstatus enthält nützliche Informationen zu allen Codeüberprüfungstools. Wenn die Codeüberprüfung nicht wie erwartet funktioniert, ist die Seite mit dem Toolstatus ein guter Ausgangspunkt zum Debuggen von Problemen. Weitere Informationen finden Sie unter Informationen zur Toolstatusseite für die Codeüberprüfung.