Auswerten des Standardsetups für die Codeüberprüfung

Erfahre, wie du bewerten kannst, wie die Codeüberprüfung für dich funktioniert, und wie du dein Setup anpassen kannst, um deine Codesicherheitsanforderungen optimal zu erfüllen.

Wer kann dieses Feature verwenden?

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Code scanning ist auch für private organisationseigene Repositorys verfügbar, die GitHub Enterprise Cloud nutzen und im Besitz einer Lizenz für GitHub Advanced Security sind. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

In diesem Artikel

Informationen zum Auswerten einer neuen code scanning-Konfiguration

Wenn du mit der ersten Verwendung von code scanning beginnst, verwendest du wahrscheinlich das Standardsetup. In diesem Handbuch wird beschrieben, wie ausgewertet werden kann, wie das Standardsetup für code scanning für dich funktioniert und welche Schritte ausgeführt werden sollten, wenn etwas nicht wie erwartet funktioniert. In diesem Handbuch wird auch beschrieben, wie du code scanning anpassen kannst, wenn du feststellt, dass du einen bestimmten Anwendungsfall hast, der für deine neue Konfiguration nicht geeignet ist.

Anpassen von code scanning

Wenn du das Standardsetup oder zum ersten Mal konfigurierst, oder nach einer ersten Analyse des Codes kannst du bearbeiten, und ändern, welche Sprachen das Setup standardmäßig analysiert und die während der Analyse ausgeführte Abfragesuite. Die default Abfragesuite enthält eine Reihe von Abfragen, die sorgfältig darauf ausgelegt sind, nach den relevantesten Sicherheitsproblemen zu suchen, während falsch positive Ergebnisse minimiert werden. Du kannst jedoch die security-extended Suite verwenden, um zusätzliche Abfragen auszuführen, die eine etwas niedrigere Genauigkeit aufweisen. Weitere Informationen zu den verfügbaren Abfragesammlungen findest du unter CodeQL-Abfragesammlungen.

Weitere Informationen zur Anpassung des Standardsetups findest du unter Bearbeiten der Konfiguration des Standardsetups.

Verwenden des erweiterten Setups

Wenn du festgestellt hast, dass du noch genauere Kontrolle über code scanning benötigst, kannst du die erweiterte Einrichtung verwenden. Die erweiterte Einrichtung erfordert einen deutlich höheren Aufwand für die Konfiguration, Anpassung und Wartung, weshalb wir empfehlen, zunächst die Standardeinrichtung zu aktivieren. Weitere Informationen zum erweiterten Setup findest du unter Konfigurieren des erweiterten Setups für das Codescanning und Anpassen des erweiterten Setups für Codeüberprüfung.

Auswerten von code scanning mit der Seite mit dem Toolstatus

Die Seite mit dem Toolstatus enthält nützliche Informationen zu allen deinen Tools für die code scanning. Du kannst es verwenden, um zu untersuchen, ob einzelne Tools für ein Repository arbeiten, wann Dateien im Repository zuerst gescannt und zuletzt gescannt wurden und wann anstehende Scans geplant sind. Es ist auch ein nützlicher Ausgangspunkt für das Debuggen von Problemen.

Mit Hilfe der Seite mit dem Toolstatus kannst du die Liste mit den Regeln, die von der code scanning verwendet werden, im CSV-Format herunterladen. Für integrierte Tools wie CodeQL werden auch ausführlichere Informationen wie der Prozentsatz der überprüften Dateien und spezifische Fehlermeldungen angezeigt.

Wenn du feststellst, dass das Standardsetup nicht alle deine Dateien überprüft, musst du möglicherweise code scanning anpassen. Weitere Informationen findest du unter Benutzerdefinierte Anbieter in diesem Artikel. Alternativ kannst du unsere dedizierte Dokumentation zur Problembehandlung hilfreich finden, wenn etwas anderes nicht wie erwartet funktioniert. Weitere Informationen findest du unter Problembehandlung bei der Codeüberprüfung.

Weitere Informationen zu Seite mit dem Toolstatus findest du unter „Informationen zur Toolstatusseite für die Codeüberprüfung“.