看起来你遇到的问题很典型：作为组织所有者，调用组织级代码扫描API时公共仓库正常返回结果，但私有仓库却返回404错误，哪怕重新生成PAT也没解决。结合你的操作细节，我整理了几个最可能的原因和对应的解决步骤：

1. 检查Personal Access Token（PAT）的权限范围 #

即使你是组织所有者，PAT的权限范围才是决定它能否访问私有资源的关键。确保你的PAT至少包含以下权限：

• 仓库权限：勾选repo（全仓库权限，自动包含security_events权限），或者单独勾选repo:security_events（仅读取代码扫描事件的权限）
• 组织权限：勾选Security events的read权限（组织级安全事件读取权限）

注意：默认创建的PAT是没有这些权限的，哪怕你是组织所有者也需要手动选中。

2. 确认PAT已通过组织SAML单点登录授权 #

如果你的组织启用了SAML SSO（大部分企业组织都会开启），新创建的PAT必须手动授权给该组织才能访问私有资源。操作步骤：

• 登录GitHub后进入组织的设置页面
• 找到Security > SAML single sign-on选项
• 在页面下方的Personal access tokens区域，找到你创建的PAT，点击Authorize完成授权

未经过SAML授权的PAT，访问组织私有资源时经常会返回404或403错误，这是非常容易被忽略的点。

3. 测试单个私有仓库的代码扫描API #

你可以先缩小测试范围，调用单个私有仓库的代码扫描API，确认权限是否正常：

curl \
-H "Accept: application/vnd.github.v3+json" \
-H "Authorization: token <My_Token>" \
https://api.github.com/repos/<OrgName>/<PrivateRepoName>/code-scanning/alerts

如果这个接口能正常返回数据，说明你的PAT权限没问题，问题可能出在组织级API的过滤逻辑；如果这个接口也返回404，那基本可以锁定是PAT权限或SAML授权的问题。

4. 验证私有仓库是否启用了代码扫描 #

虽然404错误更多和权限相关，但如果私有仓库根本没启用代码扫描功能，API理论上会返回仅包含公共仓库警报的数组，而非404。你可以快速确认：

• 进入私有仓库的Security > Code scanning alerts页面，查看是否有扫描记录
• 如果未启用，先开启代码扫描后再测试组织级API

排除Bug的可能性 #

从你的描述来看，公共仓库能正常访问说明API本身是可用的，大概率不是Bug。如果以上步骤都试过仍未解决，可以尝试：

• 用GitHub CLI的调试模式查看请求详情：gh api -v /orgs/<OrgName>/code-scanning/alerts，通过详细的请求头和响应信息排查问题
• 检查组织Security设置中是否有特殊限制（比如IP白名单、访问控制规则等）

内容的提问来源于stack exchange，提问作者ElMassas