Warnungsmetriken der CodeQL-Pullanforderung

Verstehen Sie die Leistung von CodeQL bei Pull-Requests in Ihren Organisationen.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

  • Organisationsansichten: Schreibzugriff auf Repositorys in der Organisation
  • Enterprise-Ansichten: Organisationsbesitzerinnen und Sicherheitsmanagerinnen

Organisationen im Besitz eines GitHub Team-Kontos mit GitHub Code Security oder im Besitz eines GitHub Enterprise-Kontos mit GitHub Code Security

In diesem Artikel

Übersicht

Die Metrikübersicht für CodeQL-Benachrichtigungen zu Pull-Anfragen in der Sicherheitsübersicht hilft Ihnen zu verstehen, wie gut CodeQL Schwachstellen bei Pull-Anfragen in Ihrer Organisation oder in Organisationen in Ihrem Unternehmen verhindert. Sie können das gesamte Dataset anzeigen oder nach bestimmten Kriterien filtern, sodass Repositorys leicht identifiziert werden können, in denen Sie möglicherweise Maßnahmen ergreifen müssen, um Sicherheitsrisiken zu finden und zu reduzieren.

Verfügbare Metriken

Die Übersicht zeigt Ihnen eine Zusammenfassung, wie viele durch CodeQL verhinderte Sicherheitslücken in Pull Requests gefunden wurden. Die Metriken werden nur für Pull Requests nachverfolgt, die in die Standardzweige von Repositories in deinen Organisationen gemergt wurden.

Sie können auch detailliertere Metriken finden, z. B. wie viele Warnungen behoben wurden mit und ohne Copilot Autofix Vorschläge, wie viele nicht aufgelöst und zusammengeführt wurden, und wie viele als falsch-positive oder Risiko akzeptiert ausgeblendet wurden.

Sie können auch Folgendes anzeigen:

  • Die Regeln, die die meisten Warnungen verursachen, und wie vielen Warnungen jede Regel zugeordnet ist.

  • Die Anzahl der Warnungen, die ohne Auflösung in den Standardbranch integriert wurden, und die Anzahl der Warnungen, die als akzeptables Risiko abgelehnt wurden.

  • Die Anzahl der Warnungen, die mit einem akzeptierten Copilot Autofix-Vorschlag behoben wurden, wird als Bruchteil der insgesamt verfügbaren Copilot Autofix-Vorschläge angezeigt.

  • Korrekturraten, in einem Diagramm mit dem Prozentsatz der Warnungen, die mit einem verfügbaren Copilot Autofix-Vorschlag behoben wurden, und den Prozentsatz der Warnungen, die ohne einen Copilot Autofix-Vorschlag behoben wurden.

  • Durchschnittliche Behebungsdauer, dargestellt in einem Diagramm mit dem durchschnittlichen Alter der geschlossenen Warnungen, die mit einem verfügbaren Copilot Autofix-Vorschlag behoben wurden, und dem durchschnittlichen Alter der geschlossenen Warnungen, die ohne einen Copilot Autofix-Vorschlag behoben wurden.

          [!NOTE]-Metriken für Copilot Autofix werden nur für Repositorys angezeigt, in denen Copilot Autofix aktiviert ist.

Sichtbarkeit

Sie können code scanning Metriken für ein Repository sehen, wenn Sie Folgendes besitzen:

  • Die admin Rolle des Repositorys
  • Eine benutzerdefinierte Repositoryrolle mit den feingliedrigen Berechtigungen für das Repository, um Warnungen zu code scanning anzuzeigen.
  • Zugriff auf Warnungen für das Repository

Nächste Schritte

Informationen zum Auffinden der Metriken Ihrer Pull-Request-Benachrichtigung finden Sie unter Anzeigen von Metriken für Pull Request-Warnungen.