Warnungsmetriken der CodeQL-Pullanforderung

Verstehen der Leistung von CodeQL bei Pull-Requests in Ihren Organisationen.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

  • Organisationsansichten: Schreibzugriff auf Repositorys in der Organisation
  • Enterprise-Ansichten: Organisationsbesitzerinnen und Sicherheitsmanagerinnen

Organisationen im Besitz eines GitHub Team-Kontos mit GitHub Code Security oder im Besitz eines GitHub Enterprise-Kontos mit GitHub Code Security

In diesem Artikel

Übersicht

Die Metrikübersicht für CodeQL-Benachrichtigungen zu Pull-Anfragen in der Sicherheitsübersicht hilft Ihnen zu verstehen, wie gut CodeQL Schwachstellen bei Pull-Anfragen in Ihrer Organisation oder in Organisationen in Ihrem Unternehmen verhindert. Sie können das gesamte Dataset anzeigen oder nach bestimmten Kriterien filtern, sodass Repositorys leicht identifiziert werden können, in denen Sie möglicherweise Maßnahmen ergreifen müssen, um Sicherheitsrisiken zu finden und zu reduzieren.

Verfügbare Metriken

Die Übersicht zeigt Ihnen eine Zusammenfassung, wie viele durch CodeQL verhinderte Sicherheitslücken in Pull Requests gefunden wurden. Die Metriken werden nur für Pull-Requests verfolgt, die in die Standard Branches der Repositories in Ihren Organisationen zusammengeführt wurden.

Sie können auch detailliertere Metriken finden, wie z. B. wie viele Warnungen korrigiert wurden mit und ohne Copilot Autofix Vorschläge, wie viele nicht aufgelöst und zusammengeführt wurden und wie viele als falsches Positivergebnis oder als akzeptiertes Risiko zurückgewiesen wurden.

Sie können auch Folgendes anzeigen:

  • Die Regeln, die die meisten Warnungen verursachen, und wie vielen Warnungen jede Regel zugeordnet ist.

  • Die Anzahl der Warnhinweise, die ohne Lösung in den Standard Branch zusammengeführt wurden, und die Anzahl der Warnungen, die als akzeptables Risiko zurückgewiesen wurden.

  • Die Anzahl der Warnungen, die mit einem akzeptierten Copilot Autofix-Vorschlag behoben wurden, wird als Bruchteil der insgesamt verfügbaren Copilot Autofix-Vorschläge angezeigt.

  • Behebungsquoten, in einem graph, der den Prozentsatz der Warnungen zeigt, die mit einem verfügbaren Copilot Autofix Vorschlag behoben wurden, und den Prozentsatz der Warnungen, die ohne einen Copilot Autofix Vorschlag behoben wurden.

  • Mittlere Zeit bis zur Korrektur, in einem graph, der das Durchschnittsalter der abgeschlossenen Warnungen, die mit einem verfügbaren Copilot Autofix Vorschlag korrigiert wurden, und das Durchschnittsalter der abgeschlossenen Warnungen, die ohne einen Copilot Autofix Vorschlag korrigiert wurden, zeigt.

          [!NOTE]-Metriken für Copilot Autofix werden nur für Repositorys angezeigt, in denen Copilot Autofix aktiviert ist.

Sichtbarkeit

Sie können code scanning Metriken für ein Repository sehen, wenn Sie Folgendes besitzen:

  • Die admin Rolle des Repositorys
  • Eine angepasste Repository-Rolle mit den detaillierten Berechtigungen „View code scanning alerts“ für das Repository
  • Zugriff auf Warnungen für das Repository

Nächste Schritte

Informationen zum Auffinden der Metriken Ihrer Pull-Request-Benachrichtigung finden Sie unter Anzeigen von Metriken für Pull Request-Warnungen.