Informationen zu Codescans

Sie können code scanning verwenden, um Sicherheitsrisiken und Fehler im Code für Ihr Projekt auf GitHub zu finden.

Wer kann dieses Feature verwenden?

Code scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys auf GitHub.com
  • Organisationseigene Repositorys für GitHub Team, GitHub Enterprise Cloud oder GitHub Enterprise Server, wobei GitHub Advanced Security aktiviert sind.

In diesem Artikel

Hinweis

Der Websiteadministrator muss code scanning aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen finden Sie unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.

Möglicherweise kannst du code scanning nicht aktivieren oder deaktivieren, wenn Unternehmensbesitzende eine GitHub Advanced Security-Richtlinie auf Unternehmensebene festgelegt haben. Weitere Informationen finden Sie unter Implementierung von Richtlinien zur Codesicherheit und -analyse für Ihr Unternehmen.

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt.

Mit dieser Option code scanning können Sie Korrekturen für vorhandene Probleme in Ihrem Code finden, triagen und priorisieren. Code scanning verhindert außerdem, dass Entwickler neue Probleme einführen. Sie können Scans für bestimmte Tage und Uhrzeiten planen oder Scans auslösen, wenn ein bestimmtes Ereignis im Repository auftritt, z. B. ein Pushvorgang.

Wenn code scanning eine potenzielle Sicherheitsanfälligkeit oder ein Fehler in Ihrem Code gefunden wird, GitHub wird eine Warnung im Repository angezeigt. Nachdem Sie den Code behoben haben, der die Warnung ausgelöst hat, schließt GitHub die Warnung. Weitere Informationen finden Sie unter Lösen von Code-Scan-Warnungen.

Um Ergebnisse aus code scanning Ihren Repositorys oder Ihrer Organisation zu überwachen, können Sie Webhooks und die code scanning API verwenden. Informationen zu den Webhooks code scanning finden Sie unter Webhook-Ereignisse und Webhook-Nutzlasten. Weitere Informationen zu API-Endpunkten finden Sie unter REST-API-Endpunkte für die Codeüberprüfung.

Erste Schritte mit code scanning finden Sie unter Konfigurieren des Standardsetups für das Code-Scanning.

Über Tools für code scanning

Sie können code scanning so konfigurieren, dass es das von GitHub gepflegte CodeQL-Produkt oder ein Drittanbietertool code scanning verwendet.

Informationen zur CodeQL Analyse

          CodeQL ist die von GitHub entwickelte Codeanalyse-Engine zum Automatisieren von Sicherheitsprüfungen. Du kannst deinen Code mithilfe von CodeQL analysieren und die Ergebnisse als code scanning-Warnungen anzeigen. Weitere Informationen CodeQLfinden Sie unter [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql).

Informationen zu Tools von code scanning Drittanbietern

Code scanning ist mit Code-Scan-Werkzeugen von Drittanbietern interoperabel, welche SARIF-Daten (Static Analysis Results Interchange Format) ausgeben. SARIF ist ein Open-Source-Standard. Weitere Informationen finden Sie unter SARIF-Unterstützung für die Codeüberprüfung.

Sie können Analysetools von Drittanbietern mithilfe von Aktionen innerhalb GitHub oder in einem externen CI-System ausführen. Weitere Informationen findest du unter Konfigurieren des erweiterten Setups für das Code-Scanning oder Hochladen einer SARIF-Datei in GitHub.

Informationen zum Seite mit dem Toolstatus

Dieses Seite mit dem Toolstatus zeigt nützliche Informationen zu allen Code-Scan-Tools. Wenn das Codescanning nicht wie erwartet funktioniert, ist dies Seite mit dem Toolstatus ein guter Ausgangspunkt für Probleme beim Debuggen. Weitere Informationen finden Sie unter Verwenden der Toolstatusseite zum Scannen von Code.