Note
Der Websiteadministrator muss code scanning aktivieren, damit du dieses Feature verwenden kannst. Wenn du GitHub Actions zum Überprüfen deines Codes verwenden möchtest, muss der Websiteadministrator auch GitHub Actions aktivieren und die erforderliche Infrastruktur einrichten. Weitere Informationen findest du unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.
Informationen zu deiner Konfiguration der code scanning
Du kannst eine Vielzahl von Tools verwenden, um die code scanning in deinem Repository zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren des Standardsetups für das Codescanning und unter Konfigurieren des erweiterten Setups für das Codescanning.
Die für dich verfügbaren Protokoll- und Diagnoseinformationen hängen von der Methode ab, die du für code scanning in deinem Repository verwendest. Du kannst den Typ von code scanning auf der Registerkarte Sicherheit deines Repositorys überprüfen, indem du das Dropdownmenü Tool in der Warnungsliste verwendest. Weitere Informationen findest du unter Bewerten von Warnungen der Codeüberprüfung für das Repository.
Informationen zu Analyse- und Diagnoseinformationen
Du kannst Analyse- und Diagnoseinformationen für die code scanning-Ausführung mit CodeQL-Analyse auf GitHub anzeigen.
Analyseinformationen werden für die neueste Analyse in einer Kopfzeile oben in der Liste der Warnungen angezeigt. Weitere Informationen findest du unter Bewerten von Warnungen der Codeüberprüfung für das Repository.
Diagnoseinformationen werden in den Aktionsworkflowprotokollen angezeigt und bestehen aus Zusammenfassungsmetriken und Extraktordiagnosen. Weitere Informationen zum Zugriff auf code scanning-Protokolle zu GitHub findest du im Folgenden unter Anzeigen der Protokollausgabe von code scanning.
Wenn du die CodeQL CLI außerhalb von GitHub verwendest, werden Diagnoseinformationen in der Ausgabe angezeigt, die während der Datenbankanalyse generiert wird. Diese Informationen sind auch in der SARIF-Ergebnisdatei enthalten, die du in GitHub mit den code scanning-Ergebnissen hochlädst.
Informationen zur CodeQL CLI findest du unter Analysieren des Codes mit CodeQL-Abfragen.
Informationen zu Zusammenfassungsmetriken
Zusammenfassungsmetriken enthalten Folgendes:
- Codezeilen in der Codebase (als Baseline) vor Erstellung und Extrahierung der CodeQL-Datenbank
- Codezeilen in der CodeQL-Datenbank, die aus dem Code extrahiert wurden, einschließlich externer Bibliotheken und automatisch generierter Dateien
- Codezeilen in der CodeQL-Datenbank ohne automatisch generierte Dateien und externe Bibliotheken
Informationen zur CodeQL-Quellcodeextraktionsdiagnose
Die Extraktordiagnose deckt nur Dateien ab, die während der Analyse ermittelt wurden. Metriken:
- Anzahl erfolgreich analysierter Dateien
- Anzahl von Dateien, die während der Datenbankerstellung Extraktorfehler generiert haben
- Anzahl von Dateien, die während der Datenbankerstellung Extraktorwarnungen generiert haben
Wenn du die Debugprotokollierung aktivierst, werden ausführlichere Informationen zu CodeQL-Extraktorfehlern und Warnungen, die während der Datenbankerstellung aufgetreten sind, angezeigt. Weitere Informationen findest du unter Protokolle sind nicht detailliert genug.
Anzeigen der Protokollausgabe von code scanning
Dieser Abschnitt gilt für die code scanning-Ausführung mit GitHub Actions (CodeQL oder Drittanbieter).
Nach dem Konfigurieren der code scanning für dein Repository kannst du die Ausgabe der Aktionen während der Ausführung überwachen.
-
Klicke unter dem Namen deines Repositorys auf Aktionen.
Es wird eine Liste angezeigt, die einen Eintrag für die Ausführung des code scanning-Workflows enthält. Der Text des Eintrags entspricht dem Titel deiner Commitnachricht.
-
Klicke auf den Eintrag für den code scanning-Workflow.
Note
Der Text des Eintrags für die Ausführung des CodeQL-Workflows, die durch die Aktivierung des Standardsetups ausgelöst wurde, lautet „CodeQL“.
-
Klicke auf den Namen des Auftrags auf der linken Seite. Beispiel: Analyse (SPRACHE) .
-
Überprüfe die Protokollausgabe der Aktionen in diesem Workflow während der Ausführung.
-
Wenn du weitere Details zum Commit anzeigen möchtest, der die Ausführung des Workflows ausgelöst hat, klicke auf den kurzen Commithash. Der kurze Commithash besteht aus sieben Kleinbuchstaben, die unmittelbar auf den Benutzernamen des Commitautors folgen.
-
Sobald alle Aufträge abgeschlossen sind, kannst du die Details aller identifizierten code scanning-Warnungen anzeigen. Weitere Informationen findest du unter Bewerten von Warnungen der Codeüberprüfung für das Repository.