鉴定拉取请求中的代码扫描警报

当在拉取请求中 code scanning 标识出问题时,你可以查看突出显示的代码并解决警报。

谁可以使用此功能?

具有读取访问权限的用户

在本文中

根据配置,code scanning 结果可能会显示为拉取请求中的检查结果和注释。 有关详细信息,请参阅“关于代码扫描警报”。

查看检查结果code scanning

对于所有code scanning配置,包含code scanning结果的检查为:Code scanning 结果。 所使用的每个分析工具的结果将单独显示。 拉取请求中更改的代码行的任何新警报都会显示为批注。

要查看所分析分支的完整警报集,请单击查看所有分支警报。 这将打开完整的警报视图,你可以在其中按类型、严重性、标记等筛选分支上的所有警报。有关详细信息,请参阅 访问存储库的代码扫描警报

拉取请求的 Code scanning 结果检查的屏幕截图。 “查看所有分支警报”链接以深橙色边框突出显示。

管理检查失败的严重性级别

          code scanning如果结果检查发现任何严重性为`error`、`critical`或`high`的问题,则检查失败,并且在检查结果中报告错误。 如果找到 code scanning 的所有结果的严重性较低,则警报将被视为警告或注释,并且检查成功。

拉取请求中合并框的屏幕截图。 “代码扫描结果/CodeQL”检查有“1 个新警报,包括 1 个高严重性安全…”

你可以通过指定会导致拉取请求检查失败的严重级别和安全严重性来覆盖仓库设置中的默认行为。 有关详细信息,请参阅“代码扫描的工作流配置选项”。

诊断您的code scanning配置问题

根据配置,你可能会看到针对已配置的拉取请求 code scanning 运行的其他检查。 这些通常是分析代码或上传 code scanning 结果的工作流。 当分析出现问题时,这些检查对于故障排除非常有用。

例如,如果存储库使用CodeQL 分析工作流程CodeQL /分析(LANGUAGE),则会在结果检查运行之前对每种语言进行检查。 分析检查可能会失败,如果存在配置问题,或者拉取请求中断了分析编译的语言(例如,C/C++、C#、Go、Java、Kotlin、Rust、和 Swift)的构建。

与其他拉取请求检查一样,你可以在检查选项卡上查看检查失败的完整详细信息。有关配置和故障排除的详细信息,请参阅 代码扫描的工作流配置选项代码扫描分析错误疑难解答

查看拉取请求上的警报

通过查看code scanning”选项卡****,Code scanning可以查看拉取请求中引入的更改的差异中的任何警报。在触发警报的代码行上发布一个拉取请求评审,其中显示每个警报作为注释。 可以对警报进行注释、关闭警报并直接从注释中查看警报的路径。 可以通过单击“显示更多详细信息”链接来查看警报的完整详细信息,该链接将带你进入警报详细信息页面。

屏幕截图显示了拉取请求“对话”选项卡上的警报注释。 “显示更多详细信息”链接以深橙色框出。

还可以在code scanning选项卡中查看拉取请求中引入的更改差异内的所有**** 告警。

如果在拉取请求中添加了新的代码扫描配置,则会看到有关拉取请求的注释,指示你到 Security 存储库的选项卡,以便可以查看拉取请求分支上的所有警报。 有关查看存储库警报的详细信息,请参阅 访问存储库的代码扫描警报

如果您拥有仓库的写入权限,则某些注释将包含警报额外上下文的链接。 在上面的示例中,您可以从 分析 中单击 用户提供的值 以查看不受信任的数据进入数据流的位置,此处称为源。 在此例中,还可以通过单击显示路径来查看从源到使用数据的代码(池)的完整路径。 这样就很容易检查数据是否不受信任,或者分析是否无法识别源与池之间的数据净化步骤。 有关使用 CodeQL分析数据流的信息,请参阅关于数据流分析

要查看有关警报的更多信息,拥有写入权限的用户可单击注释中所示的显示更多详情链接。 这允许您在警报视图中查看工具提供的所有上下文和元数据。 在下例中,您可以查看显示问题的严重性、类型和相关通用缺陷枚举 (CWE) 的标记。 该视图还显示哪个提交引入了问题。

警报页面上的状态和详细信息仅反映存储库默认分支上的警报状态,即使警报存在于其他分支中也是如此。 可以在警报页右侧的“受影响的分支”部分查看非默认分支上的警报状态。 如果默认分支中不存在警报,则警报的状态将显示为“在拉取请求中”或“在分支中”,并将变为灰色。 “开发”部分显示将修复警报的链接分支和拉取请求。****

在警报的详细视图中,某些 code scanning 工具(如 CodeQL 分析)还包括问题说明和一个指导如何修复代码的 显示更多 链接。

显示 code scanning 警报的说明的屏幕截图。 标有“查看更多”的链接以深橙色边框突出显示。

对拉取请求中的警报进行注释

您可以在拉取请求中对任何出现的 code scanning 警报发表评论。 在拉取请求审查过程中,警报以批注形式出现在拉取请求的对话选项卡中,并且显示在已更改的文件选项卡中。

您可以选择要求在拉取请求合并之前解决拉取请求中的所有对话,包括code scanning警报上的对话。 有关详细信息,请参阅“关于受保护分支”。

修复拉取请求上的警报

对拉取请求具有推送访问权限的任何人都可以修复 code scanning 在该拉取请求上标识的警报。 如果将更改提交到拉取请求,这将触发拉取请求检查的新运行。 如果您的更改修复了问题,则警报将被关闭,注释将被删除。

忽略拉取请求上的警报

关闭警报的另一种办法是忽略它。 您可以忽略您认为不需要修复的警报。 例如,仅用于测试的代码中有错误,或者修复错误的工作超过改进代码的潜在益处。 如果存储库具有写入权限,则会在代码注释和警报摘要中提供 “消除警报 ”按钮。 单击关闭警报时,系统会提示你选择关闭警报的原因。

代码扫描检查失败的屏幕截图。 “关闭警报”按钮以深橙色突出显示。 显示了“关闭警报”下拉列表。

从下拉菜单中选择合适的原因很重要,因为这可能会影响到是否继续将查询纳入未来的分析。 (可选)可对关闭操作进行注释以记录警报关闭操作的上下文。 关闭操作注释将添加到警报时间线,可在审核和报告期间用作理由。 可使用代码扫描 REST API 检索或设置注释。 注释包含在 dismissed_comment 终结点的 alerts/{alert_number} 中。 有关详细信息,请参阅“适用于代码扫描的 REST API 终结点”。

如果将 CodeQL 警报作为误报予以忽略,例如因为代码使用了不受支持的清理库,请考虑参与 CodeQL 存储库并改进分析。 有关 CodeQL 的详细信息,请参阅“参与 CodeQL”。

有关消除警报的详细信息,请参阅“解决代码扫描警报”。