Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.

Informationen zu Codescans

Du kannst die code scanning nutzen, um Sicherheitsrisiken und Fehler im Code deines Projekts auf GitHub zu finden.

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Zur Verwendung von code scanning in einem privaten organisationseigenen Repository musst du über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zu code scanning

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse identifizierten Probleme werden in GitHub Enterprise Cloud angezeigt.

Mit der code scanning kannst du in deinem Code Probleme suchen, selektieren und deren Behandlung priorisieren. verhindert auch, dass Entwickler neue Probleme schaffen. Du kannst Überprüfungen für bestimmte Tage und Uhrzeiten planen oder Überprüfungen durchführen, wenn im Repository ein bestimmtes Ereignis auftritt, z. B. ein Push.

Wenn die code scanning ein mögliches Sicherheitsrisiko oder einen Fehler in deinem Code findet, zeigt GitHub eine Warnung im Repository an. Nachdem du den Code korrigiert hast, der die Meldung ausgelöst hat, schließt GitHub die Meldung. Weitere Informationen findest du unter Verwalten von code scanning-Warnungen für dein Repository.

Um die Ergebnisse der code scanning in deinen Repositorys oder deiner Organisation zu überwachen, kannst du Webhooks und die code scanning-API verwenden. Informationen zu den Webhooks für die code scanning findest du unter Webhookereignisse und Nutzlasten. Informationen zu API-Endpunkten findest du unter .

Erste Schritte mit der code scanning findest du unter Konfigurieren der code scanning für ein Repository.

Informationen zur Abrechnung für die code scanning

Die verwendet GitHub Actions, und jede Ausführung eines code scanning-Workflows verbraucht Minuten für GitHub Actions. Weitere Informationen findest du unter Informationen zur Abrechnung für GitHub Actions.

Informationen zu Tools für die code scanning

Du kannst die code scanning konfigurieren, um das CodeQL-Produkt zu verwenden, das von GitHub oder einem Drittanbietertool zur code scanning verwaltet wird.

Informationen zur CodeQL-Analyse

CodeQL ist die von GitHub entwickelte Codeanalyse-Engine zum Automatisieren von Sicherheitsprüfungen. Du kannst deinen Code mithilfe von CodeQL analysieren und die Ergebnisse als code scanning-Warnungen anzeigen. Weitere Informationen zu CodeQL findest du unter Informationen zum Codescannen mit CodeQL.

Informationen zu code scanning-Tools von Drittanbietern

Code scanning ist mit Code-Scan-Werkzeugen von Drittanbietern interoperabel, welche SARIF-Daten (Static Analysis Results Interchange Format) ausgeben. SARIF ist ein Open-Source-Standard. Weitere Informationen findest du unter SARIF support for code scanning.

Du kannst Analysetools von Drittanbietern innerhalb von GitHub Enterprise Cloud mithilfe von Aktionen oder innerhalb eines externen CI-Systems ausführen. Weitere Informationen findest du unter Konfigurieren der code scanning für ein Repository oder unter Hochladen einer SARIF-Datei in GitHub.