通过 Azure DevOps GitHub Advanced Security中的代码扫描，可以分析 Azure DevOps 存储库中的代码，以查找安全漏洞和编码错误。 分析发现的任何问题都作为警报引发。 代码扫描使用 CodeQL 来识别漏洞。

CodeQL 是 GitHub 开发的代码分析引擎，用于自动执行安全检查。 可以使用 CodeQL 分析代码，将结果显示为代码扫描警报。

注意

适用于 Azure DevOps 的GitHub Advanced Security适用于 Azure Repos。 如果要将 GitHub Advanced Security 与 GitHub 存储库配合使用，请参阅 GitHub Advanced Security。

GitHub 专家、安全研究人员和社区参与者编写和维护用于代码扫描的默认 CodeQL 查询。 查询会定期更新，以改进分析并减少任何误报结果。 查询开放源代码，因此你可以在 github/codeql 存储库中查看查询并参与查询。

有关 CodeQL 的更具体文档，请访问 GitHub 上的 CodeQL 文档。

CodeQL 同时支持编译语言和解释语言，并且可以在用支持的语言编写的代码中查找漏洞和错误。

有关详细信息，请参阅 CodeQL 网站上的文档，了解 支持的语言和框架。

可以通过查看生成日志（类似于依赖项扫描）来查看 CodeQL 使用的特定查询和任务详细信息。

Azure DevOps 代码扫描警报GitHub Advanced Security包括代码级应用程序漏洞警报的存储库的代码扫描标志。

若要使用代码扫描，需要首先为 Azure DevOps 配置GitHub Advanced Security。

Azure DevOps 中的“存储库”下的“高级安全性”选项卡是查看代码扫描警报的中心。 选择“ 代码扫描 ”选项卡以查看扫描警报。 可以按分支、状态、管道、规则类型和严重性进行筛选。

如果重命名了管道或分支，结果将不起作用 - 可能需要长达 24 小时才能显示新名称。

如果出于任何原因关闭存储库的高级安全性，你将失去对“高级安全性”选项卡和生成任务中结果的访问权限。 生成任务不会失败，但在禁用高级安全时，与任务一起运行生成的任何结果都是隐藏的且未执行。

选择警报以获取更多详细信息，包括修正指南。 每个警报都包含位置、说明、示例和严重性。

具有存储库参与者权限的任何人都可以在“存储库”下的“高级安全性”选项卡中查看存储库的所有警报摘要。 选择“ 代码扫描 ”选项卡，查看所有机密扫描警报。

若要显示结果，需要先运行代码扫描任务。 第一次扫描完成后，检测到的任何漏洞将显示在“高级安全”选项卡中。

默认情况下，警报页显示存储库默认分支的依赖项扫描结果。

给定警报的状态反映默认分支和最新运行管道的状态，即使警报存在于其他分支和管道上也是如此。

若要消除警报，需要适当的权限。 默认情况下，只有项目管理员可以消除高级安全警报。

若要消除警报，请执行以下操作：

这只会消除所选分支的警报。 包含相同漏洞的其他分支将保持活动状态，直到消除。 以前已消除的任何警报都可以手动重新打开。