Informationen zur Integration mit Codeüberprüfung

Du kannst die code scanning extern durchführen und die Ergebnisse dann auf GitHub anzeigen. Alternativ kannst du Webhooks konfigurieren, die an der Aktivität der code scanning in deinem Repository lauschen.

Wer kann dieses Feature verwenden?

Code scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys auf GitHub.com
  • Organisationseigene Repositorys für GitHub Team, GitHub Enterprise Cloud oder GitHub Enterprise Server, wobei GitHub Code Security aktiviert sind.

In diesem Artikel

Informationen zur Integration mit Codeüberprüfung

Hinweis

Der Websiteadministrator muss code scanning aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen finden Sie unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.

Möglicherweise kannst du code scanning nicht aktivieren oder deaktivieren, wenn Unternehmensbesitzende eine GitHub Code Security-Richtlinie auf Unternehmensebene festgelegt haben. Weitere Informationen finden Sie unter Implementierung von Richtlinien zur Codesicherheit und -analyse für Ihr Unternehmen.

Alternativ zur Ausführung von code scanning innerhalb von GitHub kannst du die Analyse auch an anderer Stelle mit dem CodeQL CLI oder einem anderen Tool für statische Analysen durchführen und die Ergebnisse dann hochladen. Weitere Informationen finden Sie unter Verwenden der Codeüberprüfung mit deinem vorhandenen CI-System.

Wenn du die Codeüberprüfung mit mehreren Konfigurationen ausführst, kann es passieren, dass eine Warnung mehrere Analyseursprünge aufweist. Wenn eine Warnung mehrere Analyseursprünge hat, kannst du den Status der Warnung für jeden Analyseursprung auf der Warnungsseite einsehen. Weitere Informationen finden Sie unter Informationen zu Codeüberprüfungswarnungen.

Integrationen mit WebHooks

Du kannst code scanning-Webhooks verwenden, um Integrationen zu erstellen oder zu konfigurieren, wie z. B. GitHub Apps oder OAuth apps, die Ereignisse der code scanning in deinem Repository abonnieren. Sie könnten beispielsweise eine Integration erstellen, die ein Problem auf GitHub erzeugt oder Ihnen eine Slack-Benachrichtigung sendet, wenn eine neue code scanning-Warnung in Ihrem Repository hinzugefügt wird. Weitere Informationen findest du unter Webhooks-Dokumentation und Webhook-Ereignisse und Webhook-Nutzlasten.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning)

  •         [AUTOTITLE](/code-security/code-scanning/integrating-with-code-scanning/using-code-scanning-with-your-existing-ci-system)

  •         [AUTOTITLE](/code-security/code-scanning/integrating-with-code-scanning/sarif-support-for-code-scanning)