Skip to main content

Filtern von Codescanbenachrichtigungen in Pull-Anforderungen

Wenn code scanning ein Problem in einem Pull Request erkennt, kannst du den hervorgehobenen Code überprüfen und die Warnung beheben.

Who can use this feature

If you have read permission for a repository, you can see annotations on pull requests. With write permission, you can see detailed information and resolve code scanning alerts for that repository.

Code scanning ist für organisationseigene Repositorys in GitHub AE verfügbar. Dies ist ein GitHub Advanced Security-Feature (kostenlos während der Betaphase). Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zu code scanning Ergebnissen für Pull-Anforderungen

In Repositorys, in denen code scanning als Pull-Anforderungsprüfung konfiguriert ist, prüft code scanning den Code in der Pull-Anforderung. Standardmäßig ist dies auf Pull-Anforderungen beschränkt, die auf den Standardzweig abzielen, aber du kannst diese Konfiguration in GitHub Actions oder in einem CI/CD-System eines Drittanbieters ändern. Wenn das Zusammenführen der Änderungen neue code scanning-Warnungen im Zielbranch verursacht, werden diese Warnungen an mehreren Stellen gemeldet.

  • Ergebnisse im Pull Request überprüfen
  • Die Registerkarte Geänderte Dateien des Pull Requests

Wenn du Schreibberechtigung für das Repository hast, kannst du alle vorhandenen code scanning Warnungen auf der Registerkarte Sicherheit anzeigen. Informationen zu Repository-Warnungen findest du unter „Verwalten von code scanning Warnungen für dein Repository.“

In Repositorys, in denen die code scanning so konfiguriert ist, dass bei jedem Codepush eine Überprüfung durchgeführt wird, ordnet die code scanning die Ergebnisse auch allen offenen Pull Requests zu und fügt die Warnungen als Anmerkungen an denselben Stellen wie andere Pull Request-Überprüfungen ein. Weitere Informationen findest du unter Anpassen der code scanning.

Wenn deine Pull-Anforderung auf eine geschützte Verzweigung ausgerichtet ist, die code scanningverwendet, und der Repositorybesitzer hat erforderliche Statusüberprüfungen konfiguriert, muss die Überprüfung "Code scanning Ergebnisse" übergeben werden, bevor du die Pull-Anforderung zusammenführen kannst. Weitere Informationen findest du unter Informationen zu geschützten Branches.

Informationen zu code scanning als Pull-Anforderungsprüfung

Es gibt viele Optionen zum Konfigurieren der code scanning als Pull Request-Überprüfung, daher wird die genaue Konfiguration der einzelnen Repositorys variieren, und einige werden mehrere Überprüfungen aufweisen.

Code scanning Ergebnisüberprüfung

Für alle Konfigurationen von code scanning lautet die Prüfung, die die Ergebnisse von code scanning enthält: Code scanning Ergebnisse. Die Ergebnisse für jedes verwendete Analysetool werden separat angezeigt. Alle neuen Warnungen, die durch Änderungen in der Pull-Anforderung verursacht werden, werden als Anmerkungen angezeigt.

Klicke auf Alle Branchwarnungen anzeigen, um alle Warnungen für den analysierten Branch anzuzeigen. Dadurch wird die vollständige Warnungsansicht geöffnet, in der du alle Warnungen auf der Verzweigung nach Typ, Schweregrad, Tag usw. filtern kannst. Weitere Informationen findest unter „Verwalten von Codescanbenachrichtigungen für dein Repository.“

Überprüfen der Ergebnisse einer Code scanning für einen Pull Request

Code scanning Ergebnisüberprüfung Ausfälle

Wenn die code scanning-Ergebnisprüfung Probleme mit einem Schweregrad von error, critical oder high ermittelt, schlägt die Prüfung fehl, und der Fehler wird in den Überprüfungsergebnissen gemeldet. Wenn alle von code scanning gefundenen Ergebnisse einen niedrigeren Schweregrad aufweisen, werden die Benachrichtigungen als Warnungen oder Hinweise behandelt und die Prüfung ist erfolgreich.

Fehlgeschlagene code scanning Prüfung einer Pull-Anforderung

Du kannst das Standardverhalten in deinen Repositoryeinstellungen außer Kraft setzen, indem du die Schweregrade sowie Sicherheitsgrade festlegst, die zu einem Fehler bei der Pull Request-Überprüfung führen. Weitere Informationen findest du unter Anpassen der code scanning.

Andere code scanning Prüfungen

Abhängig von deiner Konfiguration kann es sein, dass bei Pull-Anforderungen mit code scanning zusätzliche Prüfungen laufen. Dies sind in der Regel Workflows, die den Code analysieren oder code scanning-Ergebnisse hochladen. Diese Überprüfungen sind nützlich für die Problembehandlung, wenn Probleme mit der Analyse auftreten.

Wenn das Repository beispielsweise den CodeQL analysis workflow verwendet, wird eine Überprüfung CodeQL / Analyze (SPRACHE) für jede Sprache ausgeführt, bevor die Ergebnisüberprüfung durchgeführt wird. Die Analyseprüfung kann fehlschlagen, wenn es Probleme mit der Konfiguration gibt oder wenn die Pull-Anforderung den Build für eine Sprache unterbricht, die für die Analyse kompiliert werden muss (zum Beispiel C/C++, C# oder Java).

Wie bei anderen Pull Request-Überprüfungen kannst du auf der Registerkarte Überprüfungen alle Details zum Überprüfungsfehler einsehen. Weitere Informationen zur Konfiguration und zur Problembehandlung findest du unter Konfigurieren der code scanning oder unter Problembehandlung für den CodeQL-Workflow.

Anzeigen einer Warnung auf deiner Pull-Anforderung

Du kannst alle code scanning-Warnungen anzeigen, die in einem Pull Request eingeführt wurden, indem du die Registerkarte Geänderte Dateien anzeigst. Jede Warnung wird als Anmerkung in den Codezeilen angezeigt, die die Warnung ausgelöst haben. Der Schweregrad der Warnung wird in der Anmerkung angezeigt.

Warnungsanmerkung innerhalb eines Pull-Request-Diffs

Wenn du über Schreibberechtigungen für das Repository verfügst, enthalten einige Anmerkungen Links mit zusätzlichem Kontext für die Warnung. Im obigen Beispiel aus der CodeQL Analyse kannst du auf den vom Benutzer bereitgestellten Wert klicken, um zu sehen, wo die nicht vertrauenswürdigen Daten in den Datenfluss gelangen (dies wird als Quelle bezeichnet). In diesem Fall kannst du auch den vollständigen Pfad von der Quelle zu dem Code anzeigen, der die Daten (die Senke) verwendet, indem du auf Pfade anzeigen klickst. So lässt sich leicht überprüfen, ob die Daten nicht vertrauenswürdig sind oder ob die Analyse einen Datenbereinigungsschritt zwischen der Quelle und der Senke nicht erkannt hat. Informationen zum Analysieren des Datenflusses mithilfe von CodeQL findest du unter „Informationen zur Datenflussanalyse.“

Um weitere Informationen zu einer Warnung anzuzeigen, können Benutzer mit Schreibberechtigung auf den Link Weitere Details anzeigen klicken, der in der Anmerkung angezeigt wird. Auf diese Weise kannst du alle Kontext- und Metadaten anzeigen, die vom Tool in einer Warnungsansicht bereitgestellt werden. Im folgenden Beispiel kannst du Tags sehen, die den Schweregrad, den Typ und die relevanten allgemeinen Schwächeaufzählungen (CWEs) für das Problem anzeigen. Die Ansicht zeigt auch, welche Commit das Problem eingeführt hat.

In der Detailansicht einer Warnung enthalten einige code scanning Tools, wie z.B. CodeQL-Analyse, auch eine Beschreibung des Problems und einen Link Mehr anzeigen, der Dir zeigt, wie du deinen Code beheben kannst.

Warnungsbeschreibung und Link zum Anzeigen weiterer Informationen

Beheben einer Warnung auf deiner Pull-Anforderung

Jeder, der Push-Zugriff auf eine Pull-Anforderung hat, kann eine code scanning Warnung beheben, die in dieser Pull-Anforderung enthalten ist. Wenn du Änderungen an der Pull-Anforderung vornimmst, löst dies einen neuen Durchlauf der Pull-Anforderungsprüfung aus. Wenn deine Änderungen das Problem beheben, wird die Meldung geschlossen und der Vermerk entfernt.

Verwerfen einer Warnung auf deiner Pull-Anforderung

Eine andere Möglichkeit, eine Meldung zu schließen, ist, sie zu verwerfen. Du kannst eine Meldung verwerfen, wenn du der Meinung bist, dass sie nicht behoben werden muss. Beispielsweise liegt ein Fehler in Code vor, der nur zum Testen verwendet wird, oder der Aufwand zum Beheben des Fehlers ist höher als der potenzielle Vorteil der Verbesserung des Codes. Wenn du eine Schreibberechtigung für das Repository hast, ist die Schaltfläche Verwerfen in den Code-Anmerkungen und in der Zusammenfassung der Alarme verfügbar. Wenn du auf Verwerfen klickst, wirst du aufgefordert, einen Grund zum Verwerfen der Warnung auszuwählen. Auswählen, warum eine Warnung gelöscht wird Es ist wichtig, den entsprechenden Grund aus dem Dropdownmenü auszuwählen, weil sich dies darauf auswirken kann, ob eine Abfrage weiterhin in zukünftigen Analysen berücksichtigt wird.

Wenn du eine CodeQL-Warnung als False Positive-Ergebnis schließt, z. B. weil der Code eine nicht unterstützte Bereinigungsbibliothek verwendet, solltest du zum CodeQL-Repository beitragen und die Analyse verbessern. Weitere Informationen zu CodeQL findest du unter Beitragen zu CodeQL.

Weitere Informationen zum Verwerfen von Warnungen findest du unter Verwalten von code scanning Warnungen für dein Repository.