Konfigurieren des erweiterten Setups für das Codescanning

In diesem Artikel

Du kannst das erweiterte Setup für ein Repository konfigurieren, um Sicherheitsrisiken in deinem Code mithilfe einer hochgradig anpassbaren code scanning-Konfiguration zu ermitteln.

Wer kann dieses Feature verwenden?

People with admin permissions to a repository, or the security manager role for the repository, can configure code scanning for that repository. People with write permissions to a repository can also configure code scanning, but only by creating a workflow file or manually uploading a SARIF file.

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Code scanning ist auch für private organisationseigene Repositorys verfügbar, die GitHub Enterprise Cloud nutzen und im Besitz einer Lizenz für GitHub Advanced Security sind. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zum erweiterten Setup für das code scanning

Mit dem erweiterten Setup für das code scanning erhältst du präzisere Kontrolle über deine code scanning-Konfiguration. Durch das Erstellen und Bearbeiten einer CodeQL-Workflowdatei kannst du unter anderem den Überprüfungszeitplan ändern, jede von CodeQL unterstützte Sprache überprüfen und einen Matrixbuild benutzen.

Du kannst das code scanning auch mit Tools von Drittanbietern konfigurieren. Weitere Informationen findest du unter Konfigurieren des code scanning mit Drittanbieteraktionen.

Wenn du die Codeüberprüfung mit mehreren Konfigurationen ausführst, wird die gleiche Warnung manchmal von mehreren Konfigurationen generiert. Wenn eine Warnung von mehreren Konfigurationen stammt, kannst du den Status der Warnung für jede Konfiguration auf der Warnungsseite einsehen. Weitere Informationen findest du unter Informationen zu Codeüberprüfungswarnungen.

Wenn du keine hochgradig anpassbare code scanning-Konfiguration benötigst, solltest du das Standardsetup des code scanning verwenden. Weitere Informationen zur Eignung des Standardsetups findest du unter Konfigurieren des Standardsetups für das Codescanning.

Voraussetzungen

Dein Repository ist für das erweiterte Setup geeignet, wenn:

  • es von CodeQL unterstützte Sprachen benutzt oder du planst, Codescanningergebnisse mit einem Drittanbietertool zu generieren
  • GitHub Actions aktiviert ist.
  • das Repository öffentlich sichtbar ist.

Konfigurieren des erweiterten Setups für ein Repository

Das erweiterte Setup für das code scanning ist hilfreich, wenn du das code scanning anpassen musst. Durch das Erstellen und Bearbeiten einer Workflowdatei kannst du unter anderem auswählen, welche Abfragen ausgeführt werden sollen, den Überprüfungszeitplan ändern, Sprachen für die Überprüfung auswählen und einen Matrixbuild verwenden.

Konfigurieren des erweiterten Setups für das code scanning mit CodeQL

Du kannst die code scanning anpassen, indem du eine Workflowdatei erstellst und bearbeitest. Das Auswählen des erweiterten Setups generiert eine einfache Workflowdatei, die du anpassen kannst.

Beim Einsatz von Aktionen zum Ausführen von code scanning werden Minuten verwendet. Weitere Informationen findest du unter Informationen zur Abrechnung für GitHub Actions.

Hinweis: Du kannst die code scanning für jedes öffentliche Repository konfigurieren, auf das du Schreibzugriff hast.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke in der Seitenleiste im Abschnitt „Sicherheit“ auf Codesicherheit und -analyse.

  4. Scrolle zum Abschnitt „Code scanning“ die Option Setup aus, und klicke dann auf Erweitert.

    Hinweis: Wenn du vom Standardsetup zum erweiterten Setup wechselst, musst du im Abschnitt „Code scanning“ das Symbol auswählen und dann auf Erweitert klicken. Klicken im daraufhin angezeigten Popupfenster auf CodeQL deaktivieren.

    Screenshot: Abschnitt „Code scanning“ der Einstellungen für Codesicherheit und -analyse. Die Schaltfläche „Erweiterte Einrichtung“ ist mit einem orangefarbenen Umriss hervorgehoben.

  5. Bearbeite den Workflow, wenn du die Codeüberprüfung durch code scanning anpassen möchtest.

    In der Regel kannst du CodeQL-Analyseworkflow ohne Änderungen committen. Viele der Drittanbieterworkflows erfordern jedoch eine zusätzliche Konfiguration. Lies daher vor dem Committen die Kommentare im Workflow.

    Weitere Informationen findest du unter Anpassen des erweiterten Setups für Codeüberprüfung und unter CodeQL-Codeüberprüfung für kompilierte Sprachen.

  6. Klicke auf Änderungen committen... , um das Formular für Commitänderungen anzuzeigen.

    Screenshot des Formulars zum Erstellen einer neuen Datei. Rechts neben dem Dateinamen befindet sich eine grüne Schaltfläche mit der Bezeichnung „Änderungen committen...“, die dunkelorange umrandet ist.

  7. Gib im Feld „Commitnachricht“ eine Commitnachricht ein.

  8. Wähle aus, ob du direkt in den Standardbranch committen möchtest, oder erstelle einen neuen Branch, und starte einen Pull Request.

  9. Klicke auf Neue Datei committen, um die Workflowdatei in den Standardbranch zu committen, oder klicke auf Neue Datei vorschlagen, um die Datei in einen neuen Branch zu committen.

  10. Wenn du einen neuen Branch erstellt hast, klicke auf Pull Request erstellen, und öffne einen Pull Request, um die Änderung in den Standardbranch zu mergen.

Im empfohlenen CodeQL-Analyseworkflow wird code scanning so konfiguriert, dass dein Code jedes Mal analysiert wird, wenn du entweder eine Änderung an den Standardbranch oder an geschützte Branches pushst oder einen Pull Request für den Standardbranch auslöst. Daraufhin wird code scanning gestartet.

Die on:pull_request- und on:push-Trigger für Codescans sind jeweils für unterschiedliche Zwecke nützlich. Weitere Informationen findest du unter Anpassen des erweiterten Setups für Codeüberprüfung.

Informationen zur Massenaktivierung findest du unter Konfigurieren des erweiterten Setups für das Codescanning mit CodeQL im großen Stil.

Konfigurieren des code scanning mithilfe von Drittanbieteraktionen

Hinweis: Startworkflows für Advanced Security wurden in die Kategorie „Sicherheit“ auf der Registerkarte Aktionen eines Repositorys konsolidiert. Diese neue Konfiguration befindet sich derzeit in der Betaphase und kann sich noch ändern.

GitHub bietet Startworkflows für Sicherheitsfeatures wie code scanning. Du kannst diese vorgeschlagenen Workflows zum Erstellen von Workflows zur code scanning verwenden. So musst du die Workflows nicht von Grund auf neu erstellen.

Beim Einsatz von Aktionen zum Ausführen von code scanning werden Minuten verwendet. Weitere Informationen findest du unter Informationen zur Abrechnung für GitHub Actions.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Klicke unter dem Namen deines Repositorys auf Aktionen.

    Screenshot: Registerkarten für das Repository „github/docs“. Die Registerkarte „Aktionen“ ist mit einem orangefarbenen Rahmen hervorgehoben.

  3. Wurde für das Repository bereits mindestens ein Workflow konfiguriert und ausgeführt, klicke auf Neuer Workflow, um die Startworkflows anzuzeigen. Sind derzeit keine Workflows für das Repository konfiguriert, fahre mit dem nächsten Schritt fort.

    Screenshot der Registerkarte „Aktionen“ für ein Repository. Die Schaltfläche „Neuer Workflow“ ist dunkelorange hervorgehoben.

  4. Scrolle in der Ansicht „Workflow auswählen“ oder „Erste Schritte mit GitHub Actions“ nach unten zur Kategorie „Sicherheit“, und klicke unter dem Workflow, den du konfigurieren möchtest, auf Konfigurieren. Möglicherweise musst du auf Alle anzeigen klicken, um den Sicherheitsworkflow zu finden, den du konfigurieren möchtest.

    Screenshot der Kategorie „Sicherheit“ von Starterworkflows. Die Schaltfläche „Konfigurieren“ und der Link „Alle anzeigen“ sind mit einem orangefarbenen Umriss hervorgehoben.

  5. Befolge alle Anweisungen im Workflow, um ihn an deine Anforderungen anzupassen. Um allgemeinere Unterstützung zu Workflows zu erhalten, klicke im rechten Bereich der Workflowseite auf Dokumentation.

    Screenshot: Startworkflowdatei, die zur Bearbeitung geöffnet ist. Die Schaltfläche „Dokumentation“ ist mit einem orangefarbenen Umriss hervorgehoben.

    Weitere Informationen findest du unter Verwenden von Startworkflows und unter Anpassen des erweiterten Setups für Codeüberprüfung.

Nächste Schritte

Nach dem Konfigurieren der code scanning und dem Abschluss der Aktionen kannst du Folgendes tun: