Skip to main content

Informationen zu Codeüberprüfungswarnungen

Hier erfährst du mehr über die verschiedenen Arten von Codeüberprüfungswarnungen und die Informationen, die dir dabei helfen, das Problem zu verstehen, das von der jeweiligen Warnung hervorgehoben wird.

Code scanning ist für organisationseigene Repositorys in GitHub Enterprise Server verfügbar. Dieses Feature erfordert eine Lizenz für GitHub Advanced Security. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Hinweis: Dein Websiteadministrator muss code scanning für your GitHub Enterprise Server instance aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Konfigurieren von code scanning für deine Appliance.

Informationen zu Warnungen durch die code scanning

Du kannst die code scanning so konfigurieren, dass der Code in einem Repository mit der CodeQL-Standardanalyse, einer Analyse eines Drittanbieters oder mehreren Arten von Analysen überprüft wird. Nach Abschluss der Analyse werden die daraus resultierenden Warnungen in der Sicherheitsansicht des Repositorys nebeneinander angezeigt. Ergebnisse von Drittanbietertools oder benutzerdefinierten Abfragen enthalten möglicherweise nicht alle Eigenschaften, die in Warnungen der CodeQL-Standardanalyse von GitHub angezeigt werden. Weitere Informationen findest du unter Konfigurieren der code scanning für ein Repository.

Standardmäßig wird dein Code im Standardbranch und bei Pull Requests über das code scanning regelmäßig analysiert. Informationen zur Verwaltung von Warnungen für Pull Requests findest du unter Selektieren von code scanning-Warnungen in Pull Requests.

Informationen zu Warnungsdetails

Bei jeder Warnung werden das Problem mit dem Code und der Name des Tools, das dieses erkannt hat, hervorgehoben. Du kannst die Codezeile anzeigen, die die Warnung ausgelöst hat, sowie Eigenschaften der Warnung (z. B. Warnungsschweregrad, Sicherheitsschweregrad und die Art des Problems). Warnungen informieren dich auch darüber, seit wann das Problem besteht. Bei Warnungen, die von der CodeQL-Analyse identifiziert wurden, werden auch Informationen zur Behebung des Problems angezeigt.

Beispielwarnung der code scanning

Wenn du die code scanning mit CodeQL konfigurierst, können auch Datenflussprobleme in deinem Code erkannt werden. Die Datenflussanalyse findet potenzielle Sicherheitsprobleme in Code wie die unsichere Verwendung von Daten, die Übergabe gefährlicher Argumente an Funktionen und das Durchsickern vertraulicher Informationen.

Wenn die code scanning Datenflusswarnungen meldet, zeigt GitHub Ihnen, wie die Daten durch den Code fließen. Mit der Code scanning kannst du die Bereiche deines Codes identifizieren, in denen vertrauliche Informationen durchsickern und die einen möglichen Ansatzpunkt für Angriffe böswilliger Benutzer*innen darstellen.

Informationen zu Schweregraden

Mögliche Warnungsschweregrade sind Error, Warning und Note.

Wenn die code scanning als Überprüfung für Pull Requests aktiviert ist, tritt bei der Überprüfung ein Fehler auf, wenn Ergebnisse mit dem Schweregrad error gefunden werden. Du kannst angeben, welcher Schweregrad für Codeüberprüfungswarnungen einen Überprüfungsfehler verursacht. Weitere Informationen findest du unter Anpassen der code scanning.

Informationen zu Sicherheitsschweregraden

Die Code scanning zeigt Sicherheitsschweregrade für Warnungen an, die von Sicherheitsabfragen generiert wurden. Die Sicherheitsschweregrade können Critical, High, Medium oder Low sein.

Für die Berechnung des Sicherheitsschweregrads einer Warnung verwenden wir CVSS-Daten (Common Vulnerability Scoring System). Das CVSS ist ein offenes Framework, über das die Merkmale und Schweregrade von Sicherheitsrisiken bei Software kommuniziert werden und das häufig von anderen Sicherheitsprodukten für die Bewertung von Warnungen verwendet wird. Weitere Informationen dazu, wie Schweregrade berechnet werden, findest du in diesem Blogbeitrag.

Standardmäßig führen alle Ergebnisse der code scanning mit einem Sicherheitsschweregrad von Critical oder High dazu, dass bei der Überprüfung ein Fehler auftritt. Du kannst angeben, welcher Sicherheitsschweregrad bei Ergebnissen der code scanning zu einem Fehler bei der Überprüfung führen soll. Weitere Informationen findest du unter Anpassen der code scanning.

Informationen zu Kennzeichnungen für nicht in Anwendungscode gefundene Warnungen

GitHub Enterprise Server weist Warnungen, die nicht in Anwendungscode gefunden wurden, eine Kategoriekennzeichnung zu. Mit dieser Kennzeichnung wird angegeben, wo die Warnung gefunden wurde.

  • Generiert: Vom Buildprozess generierter Code
  • Test: Testcode
  • Bibliothek: Bibliotheks- oder Drittanbietercode
  • Dokumentation: Dokumentation

Bei der Code scanning werden die Dateien basierend auf dem Dateipfad den Kategorien zugeordnet. Ein manuelles Kategorisieren von Quelldateien ist nicht möglich.

Im Folgenden siehst du ein Beispiel aus der Warnungsliste der code scanning, bei dem eine Warnung als in Bibliothekscode auftretend gekennzeichnet ist.

Codeüberprüfungswarnung für eine Bibliothek in einer Liste

Auf der Warnungsseite kannst du sehen, dass der Dateipfad als Bibliothekscode gekennzeichnet ist (Kennzeichnung Library).

Details für eine Codeüberprüfungswarnung für eine Bibliothek