Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse ermittelten Probleme werden im Repository angezeigt.
Mit dieser Option code scanning können Sie Korrekturen für vorhandene Probleme in Ihrem Code finden, triagen und priorisieren. Code scanning verhindert außerdem, dass Entwickler neue Probleme einführen. Sie können Scans für bestimmte Tage und Uhrzeiten planen oder Scans auslösen, wenn ein bestimmtes Ereignis im Repository auftritt, z. B. ein Pushvorgang.
Wenn code scanning eine potenzielle Sicherheitsanfälligkeit oder ein Fehler in Ihrem Code gefunden wird, GitHub wird eine Warnung im Repository angezeigt. Nachdem Sie den Code behoben haben, der die Warnung ausgelöst hat, schließt GitHub die Warnung. Weitere Informationen finden Sie unter Lösen von Code-Scan-Warnungen.
GitHub Copilot Autofix schlägt Korrekturen für Warnungen aus der code scanning Analyse vor, sodass Entwickler Sicherheitsrisiken mit weniger Aufwand verhindern und reduzieren können. Weitere Informationen finden Sie unter [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/responsible-use-autofix-code-scanning).
Um Ergebnisse aus code scanning Ihren Repositorys oder Ihrer Organisation zu überwachen, können Sie Webhooks und die code scanning API verwenden. Informationen zu den Webhooks code scanning finden Sie unter Webhook-Ereignisse und Webhook-Nutzlasten. Weitere Informationen zu API-Endpunkten finden Sie unter REST-API-Endpunkte für die Codeüberprüfung.
Code scanning verwendet GitHub Actions, wobei jeder Workflow-Lauf GitHub Actions Minuten in Anspruch nimmt. Wenn Sie für private Repositorys verwenden code scanning möchten, benötigen Sie eine GitHub Code Security Lizenz. Weitere Informationen finden Sie unter [AUTOTITLE](/billing/managing-billing-for-github-actions/about-billing-for-github-actions). Informationen zum kostenlosen Testen von GitHub Enterprise mit GitHub Advanced Security findest du in der GitHub Enterprise Cloud-Dokumentation unter [AUTOTITLE](/enterprise-cloud@latest/admin/overview/setting-up-a-trial-of-github-enterprise-cloud) und [AUTOTITLE](/enterprise-cloud@latest/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/setting-up-a-trial-of-github-advanced-security#setting-up-your-trial-of-github-advanced-security).
Wenn Sie die Sicherheitsrisiken Ihrer Organisation vor dem Kauf einer Lizenz bewerten möchten, können Sie eine kostenlose code security risk assessmentVersion ausführen. Siehe Codesicherheitsrisikobewertung.
Erste Schritte mit code scanning finden Sie unter Konfigurieren des Standardsetups für das Code-Scanning.
Über Tools für code scanning
Sie können code scanning so konfigurieren, dass es das von GitHub gepflegte CodeQL-Produkt oder ein Drittanbietertool code scanning verwendet.
Informationen zur CodeQL Analyse
CodeQL ist die von GitHub entwickelte Codeanalyse-Engine zum Automatisieren von Sicherheitsprüfungen. Du kannst deinen Code mithilfe von CodeQL analysieren und die Ergebnisse als code scanning-Warnungen anzeigen. Weitere Informationen CodeQLfinden Sie unter [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql).
Informationen zu Tools von code scanning Drittanbietern
Code scanning ist mit Code-Scan-Werkzeugen von Drittanbietern interoperabel, welche SARIF-Daten (Static Analysis Results Interchange Format) ausgeben. SARIF ist ein Open-Source-Standard. Weitere Informationen finden Sie unter SARIF-Unterstützung für die Codeüberprüfung.
Sie können Analysetools von Drittanbietern mithilfe von Aktionen innerhalb GitHub oder in einem externen CI-System ausführen. Weitere Informationen findest du unter Konfigurieren des erweiterten Setups für das Code-Scanning oder Hochladen einer SARIF-Datei in GitHub.
Informationen zum Seite mit dem Toolstatus
Dieses Seite mit dem Toolstatus zeigt nützliche Informationen zu allen Code-Scan-Tools. Wenn das Codescanning nicht wie erwartet funktioniert, ist dies Seite mit dem Toolstatus ein guter Ausgangspunkt für Probleme beim Debuggen. Weitere Informationen finden Sie unter Verwenden der Toolstatusseite zum Scannen von Code.