Informationen zum erweiterten Setup für das code scanning
Mit dem erweiterten Setup für das code scanning erhältst du präzisere Kontrolle über deine code scanning-Konfiguration. Durch das Erstellen und Bearbeiten einer CodeQL-Workflowdatei kannst du unter anderem den Überprüfungszeitplan ändern, jede von CodeQL unterstützte Sprache überprüfen und einen Matrixbuild benutzen.
Du kannst das code scanning auch mit Tools von Drittanbietern konfigurieren. Weitere Informationen findest du unter Konfigurieren des code scanning mit Drittanbieteraktionen.
Wenn du die Codeüberprüfung mit mehreren Konfigurationen ausführst, wird die gleiche Warnung manchmal von mehreren Konfigurationen generiert. Wenn eine Warnung von mehreren Konfigurationen stammt, kannst du den Status der Warnung für jede Konfiguration auf der Warnungsseite einsehen. Weitere Informationen findest du unter Informationen zu Codeüberprüfungswarnungen.
Wenn du keine hochgradig anpassbare code scanning-Konfiguration benötigst, solltest du das Standardsetup des code scanning verwenden. Weitere Informationen zur Eignung des Standardsetups findest du unter Konfigurieren des Standardsetups für das Codescanning.
Voraussetzungen
Dein Repository ist für das erweiterte Setup geeignet, wenn:
- es von CodeQL unterstützte Sprachen benutzt oder du planst, Codescanningergebnisse mit einem Drittanbietertool zu generieren
- GitHub Actions aktiviert ist.
- das Repository öffentlich sichtbar ist.
Konfigurieren des erweiterten Setups für ein Repository
Das erweiterte Setup für das code scanning ist hilfreich, wenn du das code scanning anpassen musst. Durch das Erstellen und Bearbeiten einer Workflowdatei kannst du unter anderem auswählen, welche Abfragen ausgeführt werden sollen, den Überprüfungszeitplan ändern, Sprachen für die Überprüfung auswählen und einen Matrixbuild verwenden.
Konfigurieren des erweiterten Setups für das code scanning mit CodeQL
Du kannst die code scanning anpassen, indem du eine Workflowdatei erstellst und bearbeitest. Das Auswählen des erweiterten Setups generiert eine einfache Workflowdatei, die du anpassen kannst.
Beim Einsatz von Aktionen zum Ausführen von code scanning werden Minuten verwendet. Weitere Informationen findest du unter Informationen zur Abrechnung für GitHub Actions.
Hinweis: Du kannst die code scanning für jedes öffentliche Repository konfigurieren, auf das du Schreibzugriff hast.
-
Navigiere auf GitHub.com zur Hauptseite des Repositorys.
-
Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke in der Seitenleiste im Abschnitt „Sicherheit“ auf Codesicherheit und -analyse.
-
Scrolle zum Abschnitt „Code scanning“ die Option Setup aus, und klicke dann auf Erweitert.
Hinweis: Wenn du vom Standardsetup zum erweiterten Setup wechselst, musst du im Abschnitt „Code scanning“ das Symbol auswählen und dann auf Erweitert klicken. Klicken im daraufhin angezeigten Popupfenster auf CodeQL deaktivieren.
-
Bearbeite den Workflow, wenn du die Codeüberprüfung durch code scanning anpassen möchtest.
In der Regel kannst du CodeQL-Analyseworkflow ohne Änderungen committen. Viele der Drittanbieterworkflows erfordern jedoch eine zusätzliche Konfiguration. Lies daher vor dem Committen die Kommentare im Workflow.
Weitere Informationen findest du unter Anpassen des erweiterten Setups für Codeüberprüfung und unter CodeQL-Codeüberprüfung für kompilierte Sprachen.
-
Klicke auf Änderungen committen... , um das Formular für Commitänderungen anzuzeigen.
-
Gib im Feld „Commitnachricht“ eine Commitnachricht ein.
-
Wähle aus, ob du direkt in den Standardbranch committen möchtest, oder erstelle einen neuen Branch, und starte einen Pull Request.
-
Klicke auf Neue Datei committen, um die Workflowdatei in den Standardbranch zu committen, oder klicke auf Neue Datei vorschlagen, um die Datei in einen neuen Branch zu committen.
-
Wenn du einen neuen Branch erstellt hast, klicke auf Pull Request erstellen, und öffne einen Pull Request, um die Änderung in den Standardbranch zu mergen.
Im empfohlenen CodeQL-Analyseworkflow wird code scanning so konfiguriert, dass dein Code jedes Mal analysiert wird, wenn du entweder eine Änderung an den Standardbranch oder an geschützte Branches pushst oder einen Pull Request für den Standardbranch auslöst. Daraufhin wird code scanning gestartet.
Die on:pull_request
- und on:push
-Trigger für Codescans sind jeweils für unterschiedliche Zwecke nützlich. Weitere Informationen findest du unter Anpassen des erweiterten Setups für Codeüberprüfung.
Informationen zur Massenaktivierung findest du unter Konfigurieren des erweiterten Setups für das Codescanning mit CodeQL im großen Stil.
Konfigurieren des code scanning mithilfe von Drittanbieteraktionen
Hinweis: Startworkflows für Advanced Security wurden in die Kategorie „Sicherheit“ auf der Registerkarte Aktionen eines Repositorys konsolidiert. Diese neue Konfiguration befindet sich derzeit in der Betaphase und kann sich noch ändern.
GitHub bietet Startworkflows für Sicherheitsfeatures wie code scanning. Du kannst diese vorgeschlagenen Workflows zum Erstellen von Workflows zur code scanning verwenden. So musst du die Workflows nicht von Grund auf neu erstellen.
Beim Einsatz von Aktionen zum Ausführen von code scanning werden Minuten verwendet. Weitere Informationen findest du unter Informationen zur Abrechnung für GitHub Actions.
-
Navigiere auf GitHub.com zur Hauptseite des Repositorys.
-
Klicke unter dem Namen deines Repositorys auf Aktionen.
-
Wurde für das Repository bereits mindestens ein Workflow konfiguriert und ausgeführt, klicke auf Neuer Workflow, um die Startworkflows anzuzeigen. Sind derzeit keine Workflows für das Repository konfiguriert, fahre mit dem nächsten Schritt fort.
-
Scrolle in der Ansicht „Workflow auswählen“ oder „Erste Schritte mit GitHub Actions“ nach unten zur Kategorie „Sicherheit“, und klicke unter dem Workflow, den du konfigurieren möchtest, auf Konfigurieren. Möglicherweise musst du auf Alle anzeigen klicken, um den Sicherheitsworkflow zu finden, den du konfigurieren möchtest.
-
Befolge alle Anweisungen im Workflow, um ihn an deine Anforderungen anzupassen. Um allgemeinere Unterstützung zu Workflows zu erhalten, klicke im rechten Bereich der Workflowseite auf Dokumentation.
Weitere Informationen findest du unter Verwenden von Startworkflows und unter Anpassen des erweiterten Setups für Codeüberprüfung.
Nächste Schritte
Nach dem Konfigurieren der code scanning und dem Abschluss der Aktionen kannst du Folgendes tun:
- Anzeigen aller für dieses Repository generierten code scanning-Warnungen. Weitere Informationen findest du unter Verwalten von Codescanwarnungen für dein Repository.
- Anzeigen von Warnungen, die für einen Pull Request generiert wurden, der nach dem Konfigurieren der code scanning übermittelt wurde. Weitere Informationen findest du unter Filtern von Codescanbenachrichtigungen in Pull-Anforderungen.
- Konfigurieren von Benachrichtigungen für abgeschlossene Ausführungen. Weitere Informationen findest du unter Benachrichtigungen konfigurieren.
- Informationen zu code scanning-Ergebnissen für Pull Requests Weitere Informationen findest du unter Filtern von Codescanbenachrichtigungen in Pull-Anforderungen.
- Anzeigen der Protokolle, die bei der code scanning-Analyse generiert wurden. Weitere Informationen findest du unter Anzeigen von Codescanprotokollen.
- Untersuchen von Problemen, die bei der Erstkonfiguration des code scanning auftreten. Weitere Informationen findest du unter Problembehandlung bei der Codeüberprüfung.
- Passe an, wie die code scanning den Code in deinem Repository überprüft. Weitere Informationen findest du unter Anpassen des erweiterten Setups für Codeüberprüfung.