Anzeigen von Metriken für Pull Request-Warnungen

Du kannst die Sicherheitsübersicht verwenden, um zu sehen, wie CodeQL sich in Pull Requests für Repositorys in deiner Organisation verhält, und um Repositorys zu ermitteln, bei denen du möglicherweise Maßnahmen ergreifen musst.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

  • Organisationsansichten: Schreibzugriff auf Repositorys in der Organisation
  • Enterprise-Ansichten: Organisationsbesitzerinnen und Sicherheitsmanagerinnen

Organisationen im Besitz eines GitHub Team-Kontos mit GitHub Code Security, oder im Besitz eines GitHub Enterprise-Kontos

In diesem Artikel

Informationen zu CodeQL-Pull-Request-Warnungsmetriken

Die Metrikübersicht für CodeQL-Pull-Request-Warnungen hilft dabei, zu verstehen, wie gut CodeQL Sicherheitsrisiken in deiner Organisation verhindert. Mithilfe der Metriken können Sie bewerten, wie CodeQL in Pull Requests ausgeführt werden, und um die Repositories einfach zu identifizieren, in denen Sie möglicherweise Maßnahmen ergreifen müssen, um Sicherheitsrisiken zu identifizieren und zu reduzieren.

Die Übersicht zeigt Ihnen eine Zusammenfassung, wie viele durch CodeQL verhinderte Sicherheitslücken in Pull Requests gefunden wurden. Die Metriken werden nur für Pull Requests nachverfolgt, die in den Standardbranches von Repositorys in deiner Organisation gemergt wurden.

Du kannst auch detailliertere Metriken finden, z. B. wie viele Warnungen mit und ohne Copilot Autofix-Vorschläge behoben wurden, wie viele nicht aufgelöst und gemergt wurden und wie viele als falsch positiv oder als Risiko akzeptiert wurden.

Sie können auch Folgendes anzeigen:

  • Die Regeln, die die meisten Warnungen verursachen, und wie vielen Warnungen jede Regel zugeordnet ist.

  • Die Anzahl der Warnungen, die ohne Auflösung mit dem Standardbranch gemergt wurden, und die Anzahl der Warnungen, die als akzeptables Risiko verworfen wurden.

  • Die Anzahl der Warnungen, die mit einem akzeptierten Copilot Autofix-Vorschlag behoben wurden, wird als Bruchteil der insgesamt verfügbaren Copilot Autofix-Vorschläge angezeigt.

  • Korrekturraten, in einem Diagramm mit dem Prozentsatz der Warnungen, die mit einem verfügbaren Copilot Autofix-Vorschlag behoben wurden, und den Prozentsatz der Warnungen, die ohne einen Copilot Autofix-Vorschlag behoben wurden.

Sie können Filter für die Daten anwenden. Die Metriken basieren auf Aktivitäten aus dem Standardzeitraum oder dem ausgewählten Zeitraum.

Hinweis

-Metriken für Copilot Autofix werden nur für Repositorys angezeigt, in denen Copilot Autofix aktiviert ist.

Anzeigen von CodeQL Pull Request Warnungsmetriken für eine Organisation

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke in der Randleiste unter „Metrics“ auf CodeQL pull request alerts.

  4. Optional können Sie die Datumsauswahl verwenden, um den Zeitraum festzulegen. Die Datumsauswahl zeigt Daten basierend auf den Erstellungsdaten der Pull Request Warnungen an.

  5. Wenden Sie optional Filter im Suchfeld oben auf der Seite an.

  6. Alternativ können Sie das Dialogfeld "Erweiterter Filter" öffnen:

    • Klicke oben auf der Seite neben dem Suchfeld auf Filter.
    • Klicke auf Add a filter, und wähle dann einen Filter aus dem Dropdownmenü aus.
    • Um nach Repositories zu suchen, die dem ausgewählten Filter entsprechen, füllen Sie die verfügbaren Felder für diesen Filter aus und klicken dann auf Anwenden. Sie können diesen Vorgang wiederholen, um Ihrer Suche so viele Filter hinzuzufügen, wie Sie möchten.
    • Wenn du einen Filter aus der Suche entfernen möchtest, klicke optional auf Filter. Klicken Sie in der Zeile des Filters, den Sie entfernen möchten, auf , und klicken Sie dann auf Anwenden.

  7. Du kannst die Schaltfläche Export CSV verwenden, um eine CSV-Datei der aktuell auf der Seite angezeigten Daten für Sicherheitsuntersuchungen und eingehende Datenanalysen herunterzuladen. Weitere Informationen finden Sie unter Exportieren von Daten aus Sicherheitsübersicht.

Anzeigen von CodeQL-Pull-Request-Warnungsmetriken für Unternehmen

Du kannst auch Metriken für CodeQL-Warnungen in Pull Requests für Organisationen in deinem Unternehmen anzeigen.

  1. Navigieren Sie zu GitHub Enterprise Cloud.

  2. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  3. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  4. Klicke links auf der Seite auf der Randleiste für das Enterprise-Konto auf Code Security.

  5. Klicke in der Randleiste unter „Metrics“ auf CodeQL pull request alerts.

Tipp

Sie können den Filter owner im Suchfeld verwenden, um die Daten nach Organisation zu filtern. Weitere Informationen findest du unter Filtern von Warnungen in der Sicherheitsübersicht.