代码扫描合并保护

代码扫描规则可防止包含潜在漏洞的拉取请求被合并。

谁可以使用此功能?

仓库管理员和组织所有者

规则集在使用 GitHub Free 和 GitHub Free for organizations 的公共仓库中可用,在使用 GitHub Pro、GitHub Team 和 GitHub Enterprise Cloud 的公共和私有仓库中也可用。欲了解更多信息,请参阅 GitHub 的计划

本文内容

代码扫描合并保护的规则集

规则集是一组具名规则的列表,用于控制人们如何与仓库中的分支和标签交互。您可以向规则集中添加代码扫描规则,以在满足以下任意条件时阻止拉取请求的合并。

  • 必需的工具发现了规则集中定义的严重程度的代码扫描警报。
  • 必需的工具仍在进行分析。
  • 必需的工具未为该仓库配置。

通常,您应在长期存在的功能分支上使用代码扫描合并保护,以确保在拉取请求合并之前代码已完成分析。

配置代码扫描规则不会自动启用代码扫描。要了解如何启用代码扫描,请参阅 配置默认代码扫描设置

注意

  • 使用规则集的合并保护与状态检查无关。有关状态检查的更多信息,请参阅 关于状态检查

可用性

您可以使用规则集设置代码扫描合并保护

  • 在仓库层级
  • 在组织层级(仅限 GitHub Enterprise 计划)

例外情况和限制

使用规则集的合并保护将 不适用于

  • 合并队列组
  • 通过默认设置分析的 Dependabot 拉取请求

此外,警报识别的所有代码行必须存在于拉取请求的差异中。有关更多信息,请参阅 代码扫描的 SARIF 支持

后续步骤

要配置需要代码扫描结果的规则集,请参阅 设置代码扫描合并保护

© . This site is unofficial and not affiliated with GitHub, Inc.