Setting up code scanning for a repository

Options for setting up 代码扫描

You decide how to generate 代码扫描 alerts, and which tools to use, at a repository level. GitHub 对 CodeQL 分析提供完全集成的支持，还支持使用第三方工具进行分析。 更多信息请参阅“关于 CodeQL”。

Setting up 代码扫描 using actions

使用操作运行 代码扫描 需时数分钟。 更多信息请参阅“关于 GitHub Actions 的计费.”

1. 在 GitHub 上，导航到仓库的主页面。

2. 在仓库名称下，单击 Security（安全）。

   

3. To the right of "Code scanning", click Set up code scanning. If 代码扫描 is missing, you need to ask an organization owner or repository administrator to enable GitHub Advanced Security. For more information, see "Managing security and analysis settings for your organization" or "Managing security and analysis settings for your repository."

   

4. Under "Get started with code scanning", click Set up this workflow on the CodeQL 分析工作流程 or on a third-party workflow.

   

5. Optionally, to customize how 代码扫描 scans your code, edit the workflow. For more information, see "Configuring 代码扫描."

   一般来说，您可以提交 CodeQL 分析工作流程 而不对其做任何更改。 但是，许多第三方工作流程需要额外的配置，因此在提交之前请阅读工作流程中的注释。

   更多信息请参阅“配置 代码扫描。”

6. 使用 Start commit（开始提交）下拉菜单，并键入提交消息。

   

7. 选择您是想直接提交到默认分支，还是创建新分支并启动拉取请求。

   

8. 单击 Commit new file（提交新文件）或 Propose new file（提议新文件）。

在默认 CodeQL 分析工作流程 中，代码扫描 配置为在每次将更改推送到默认分支或任何受保护分支或者对默认分支提出拉取请求时分析代码。 因此，代码扫描 将立即开始。

Bulk set up of 代码扫描

You can set up 代码扫描 in many repositories at once using a script. 有关提出拉取请求以向多个仓库添加 GitHub Actions 工作流程的脚本示例，请参阅 jhutchings1/Create-ActionsPRs 仓库。

You decide how you generate 代码扫描 alerts, and which tools you use, at a repository level. GitHub provides fully integrated support for CodeQL analysis, and also supports analysis using third-party tools. For more information, see "About CodeQL."

After setting up 代码扫描 for your repository, you can watch the output of the actions as they run.

1. 在仓库名称下，单击 Actions（操作）。

   

   You can view the run status of 代码扫描 and get notifications for completed runs. For more information, see "Managing a workflow run" and "Configuring notifications." 条目的文本是提交消息的标题。

   

2. 单击 代码扫描 工作流程的项目。

3. 单击左侧的作业名称。 例如 Analyze (LANGUAGE)。

   

4. 查看此工作流运行时操作的日志记录输出。

5. 在所有作业完成后，您可以查看已识别的任何 代码扫描 警报的详细信息。 更多信息请参阅“管理仓库的 代码扫描 警报”。

了解拉取请求检查

Each 代码扫描 workflow you set to run on pull requests always has at least two entries listed in the checks section of a pull request. 工作流程中每个分析作业有一个条目，最后还有一个对应于分析结果的条目。

代码扫描 分析检查的名称采用形式："TOOL NAME / JOB NAME (TRIGGER)"。 例如，对于 CodeQL，C++ 代码的分析有条目 "CodeQL / Analyze (cpp) (pull_request)"。 您可以单击 代码扫描 分析条目上的Details（详细信息）来查看日志记录数据。 这允许您在分析作业失败时调试问题。 例如，对于编译的语言的 代码扫描 分析，如果操作无法生成代码，则可能会发生这种情况。

当 代码扫描 作业完成后， GitHub 检查拉取请求是否添加了任何警报，并将“代码扫描 结果/工具名称”条目添加到检查列表中。 在执行至少一次 代码扫描 后，您可以单击 Details（详细信息）查看分析结果。 如果使用拉取请求将 代码扫描 添加到存储库，则当您单击“代码扫描 结果/工具名称”检查中的 Details（详细信息）时，您最初会看到“Missing analysis（缺少分析）”的消息。

“缺少分析”消息的原因

在 代码扫描 分析拉取请求中的代码后，它需要将主题分支（用于创建拉取请求的分支）的分析与基本分支（要合并拉取请求的分支）的分析进行比较。 这允许 代码扫描 计算哪些警报是拉取请求新近引入的，哪些是基础分支中已经存在的，以及是否有任何现有的警报通过拉取请求中的更改来修复。 最初，如果使用拉取请求将 代码扫描 添加到仓库，则尚未分析基础分支，因此无法计算这些详细信息。 在这种情况下，当您从拉取请求的结果检查中点进时，将看到“Missing analysis for base commit SHA-HASH（缺少基础提交 SHA-HASH 的分析）”消息。

在其他情况下，可能没有分析对拉取请求的基础分支的最新提交。 这些包括：

• 已针对默认分支以外的分支提出拉取请求，并且尚未分析此分支。

  要检查是否扫描了分支，请转到 代码扫描 页面，单击 Branch<（分支）下拉菜单并选择相关分支。

  

  Using actions to run 代码扫描 will use minutes. For more information, see "About billing for GitHub Actions."

• 目前正在分析拉取请求的基础分支上的最新提交，分析尚未提供。

  等待几分钟，然后将更改推送到拉取请求以重新触发 代码扫描。

• 在分析基础分支上的最新提交时发生了错误，且该提交的分析不可用。

  将一个微小的更改合并到基础分支以触发此最新提交的 代码扫描，然后将更改推送到拉取请求以重新触发 代码扫描。

后续步骤

After setting up 代码扫描, and allowing its actions to complete, you can:

• 查看为此仓库生成的所有 代码扫描 警报。 更多信息请参阅“管理仓库的 代码扫描 警报”。
• View any alerts generated for a pull request submitted after you set up 代码扫描. 更多信息请参阅“对拉取请求中的 代码扫描 警报分类”。
• 为已完成的运行设置通知。 更多信息请参阅“配置通知”。
• 调查初始设置 CodeQL 代码扫描 时发生的任何问题。 更多信息请参阅“CodeQL 工作流程疑难解答”。
• 自定义 代码扫描 如何扫描您的仓库中的代码。 更多信息请参阅“配置 代码扫描。”