Konfigurieren des erweiterten Setups für das Codescanning

Du kannst das erweiterte Setup für ein Repository einrichten, um Sicherheitsrisiken in deinem Code mithilfe von extrem anpassbarer code scanning-Konfiguration zu ermitteln.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

Code scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys auf GitHub.com
  • Organisationseigene Repositorys in GitHub Enterprise Cloud mit aktivierter GitHub Advanced Security

In diesem Artikel

Informationen zum erweiterten Setup für code scanning

Das erweiterte Setup für das code scanning ist hilfreich, wenn du das code scanning anpassen musst. Indem Sie eine Workflow-Datei erstellen und bearbeiten, können Sie festlegen, wie kompilierte Sprachen erstellt, welche Abfragen ausgeführt und welche Sprachen gescannt werden sollen, wie eine Matrix erstellt wird und vieles mehr. Sie haben auch Zugriff auf alle Optionen für die Steuerung von Workflows, z. B. das Ändern des Scanzeitplans, das Definieren von Workflow-Triggern und die Angabe von fachspezifischen Runnern. Weitere Informationen zu GitHub Actions-Workflows findest du unter Informationen zu Workflows.

Sie können code scanning auch mit Tools von Drittanbietern konfigurieren. Weitere Informationen findest du unter Konfigurieren des code scanning mit Drittanbieteraktionen.

Wenn du die Codeüberprüfung mit mehreren Konfigurationen ausführst, kann es passieren, dass eine Warnung mehrere Analyseursprünge aufweist. Wenn eine Warnung mehrere Analyseursprünge hat, kannst du den Status der Warnung für jeden Analyseursprung auf der Warnungsseite einsehen. Weitere Informationen finden Sie unter Informationen zu Codeüberprüfungswarnungen.

Wenn du keine hochgradig anpassbare code scanning-Konfiguration benötigst, solltest du das Standardsetup des code scanning verwenden. Weitere Informationen zur Eignung des Standardsetups findest du unter Konfigurieren des Standardsetups für das Codescanning.

Voraussetzungen

Dein Repository ist für den erweiterten Setup berechtigt, wenn es diese Anforderungen erfüllt.

  • Es werden CodeQL-unterstützte Sprachen verwendet, oder Sie planen, Code-Scan-Ergebnisse mit einem Drittanbieter-Tool zu generieren.
  • GitHub Actions aktiviert ist.
  • Es ist öffentlich sichtbar.

Konfigurieren des erweiterten Setups für das code scanning mit CodeQL

Sie können Ihre CodeQL Analyse anpassen, indem Sie eine Workflow-Datei erstellen und bearbeiten. Wenn Sie die erweiterte Einrichtung wählen, wird eine Basis-Workflow-Datei generiert, die Sie mithilfe der Standard-Workflow-Syntax und unter Angabe von Optionen für die Aktion CodeQL anpassen können. Informationen findest du unter Informationen zu Workflows und Anpassen des erweiterten Setups für das Codescanning.

Beim Einsatz von Aktionen zum Ausführen von code scanning werden Minuten verwendet. Weitere Informationen findest du unter Informationen zur Abrechnung für GitHub Actions.

Note

Du kannst code scanning für jedes öffentliche Repository konfigurieren, auf das du Schreibzugriff hast.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Seitenleiste auf Code security.

  4. Scrolle zum Abschnitt „Code scanning“ die Option Setup aus, und klicke dann auf Erweitert.

    Note

    Wenn du vom Standardsetup zum erweiterten Setup wechselst, musst du im Abschnitt „Code scanning“ das Symbol auswählen und dann auf Switch to advanced klicken. Klicken im daraufhin angezeigten Popupfenster auf CodeQL deaktivieren.

    Screenshot des Abschnitts „Code scanning“ der Einstellungen von „Code security“ Die Schaltfläche „Erweiterte Einrichtung“ ist mit einem orangefarbenen Umriss hervorgehoben.

  5. Bearbeite den Workflow, wenn du die Codeüberprüfung durch code scanning anpassen möchtest.

    In der Regel kannst du CodeQL-Analyseworkflow ohne Änderungen committen. Viele der Drittanbieterworkflows erfordern jedoch eine zusätzliche Konfiguration. Lies daher vor dem Committen die Kommentare im Workflow.

    Weitere Informationen findest du unter Anpassen des erweiterten Setups für das Codescanning und CodeQL-Codeüberprüfung für kompilierte Sprachen.

  6. Klicke auf Änderungen committen... , um das Formular für Commitänderungen anzuzeigen.

    Screenshot des Formulars zum Erstellen einer neuen Datei. Rechts neben dem Dateinamen befindet sich eine grüne Schaltfläche mit der Bezeichnung „Änderungen committen...“, die dunkelorange umrandet ist.

  7. Gib im Feld „Commitnachricht“ eine Commitnachricht ein.

  8. Wähle aus, ob du direkt in den Standardbranch committen möchtest, oder erstelle einen neuen Branch, und starte einen Pull Request.

  9. Klicke auf Neue Datei committen, um die Workflowdatei in den Standardbranch zu committen, oder klicke auf Neue Datei vorschlagen, um die Datei in einen neuen Branch zu committen.

  10. Wenn du einen neuen Branch erstellt hast, klicke auf Pull Request erstellen, und öffne einen Pull Request, um die Änderung in den Standardbranch zu mergen.

Im empfohlenen CodeQL-Analyseworkflow wird code scanning so konfiguriert, dass dein Code jedes Mal analysiert wird, wenn du entweder eine Änderung an den Standardbranch oder an geschützte Branches pushst oder einen Pull Request für den Standardbranch auslöst. Daraufhin wird code scanning gestartet.

Die on:pull_request- und on:push-Trigger für Codescans sind jeweils für unterschiedliche Zwecke nützlich. Informationen findest du unter Anpassen des erweiterten Setups für das Codescanning und Auslösen eines Workflows.

Informationen zur Massenaktivierung findest du unter Konfigurieren des erweiterten Setups für das Codescanning mit CodeQL im großen Stil.

Konfigurieren des code scanning mithilfe von Drittanbieteraktionen

GitHub umfasst Workflowvorlagen für Drittanbieteraktionen und die CodeQL-Aktion. Die Verwendung einer Workflowvorlage ist wesentlich einfacher als das Schreiben eines Workflows ohne Hilfe.

Beim Einsatz von Aktionen zum Ausführen von code scanning werden Minuten verwendet. Weitere Informationen findest du unter Informationen zur Abrechnung für GitHub Actions.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Namen deines Repositorys auf Aktionen.

    Screenshot: Registerkarten für das Repository „github/docs“. Die Registerkarte „Aktionen“ ist mit einem orangefarbenen Rahmen hervorgehoben.

  3. Wenn für das Repository bereits mindestens ein Workflow konfiguriert wurde und ausgeführt wird, klicken Sie auf Neuer Workflow, um die Workflowvorlagen anzuzeigen. Sind derzeit keine Workflows für das Repository konfiguriert, fahre mit dem nächsten Schritt fort.

    Screenshot der Registerkarte „Aktionen“ für ein Repository. Die Schaltfläche „Neuer Workflow“ ist dunkelorange hervorgehoben.

  4. Scrolle in der Ansicht „Workflow auswählen“ oder „Erste Schritte mit GitHub Actions“ nach unten zur Kategorie „Sicherheit“, und klicke unter dem Workflow, den du konfigurieren möchtest, auf Konfigurieren. Möglicherweise musst du auf Alle anzeigen klicken, um den Sicherheitsworkflow zu finden, den du konfigurieren möchtest.

    Screenshot der Kategorie „Sicherheit“ von Workflowvorlagen. Die Schaltfläche „Konfigurieren“ und der Link „Alle anzeigen“ sind mit einem orangefarbenen Umriss hervorgehoben.

  5. Befolge alle Anweisungen im Workflow, um ihn an deine Anforderungen anzupassen. Um allgemeinere Unterstützung zu Workflows zu erhalten, klicke im rechten Bereich der Workflowseite auf Dokumentation.

    Screenshot der Datei einer Workflowvorlage, die zur Bearbeitung geöffnet ist. Die Schaltfläche „Dokumentation“ ist mit einem orangefarbenen Umriss hervorgehoben.

    Weitere Informationen findest du unter Verwenden von Workflowvorlagen und Anpassen des erweiterten Setups für das Codescanning.

Nächste Schritte

Nachdem Ihr Workflow mindestens einmal erfolgreich gelaufen ist, können Sie damit beginnen, code scanning Benachrichtigungen zu untersuchen und zu lösen. Weitere Informationen zu code scanning-Warnungen findest du unter Informationen zu Codeüberprüfungswarnungen und Bewerten von Warnungen der Codeüberprüfung für das Repository.

Wie sich code scanning-Ausführungen als Prüfungen auf Pull Requests verhalten, erfährst du unter Filtern von Codescanbenachrichtigungen in Pull-Anforderungen.

Ausführliche Informationen zu deiner code scanning-Konfiguration, einschließlich Zeitstempeln für jede Überprüfung und dem Prozentsatz der überprüften Dateien, findest du auf der Seite „Toolstatus“. Weitere Informationen finden Sie unter Informationen zur Toolstatusseite für die Codeüberprüfung.

Weiterführende Themen