Bearbeiten der Konfiguration des Standardsetups

Du kannst die vorhandene Konfiguration des Standardsetups für code scanning bearbeiten, um die Codesicherheitsanforderungen besser zu erfüllen.

Wer kann dieses Feature verwenden?

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Code scanning ist auch für private organisationseigene Repositorys verfügbar, die GitHub Enterprise Cloud nutzen und im Besitz einer Lizenz für GitHub Advanced Security sind. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

In diesem Artikel

Informationen zum Bearbeiten der Standardsetupkonfiguration

Nachdem du eine erste Analyse des Codes mit dem Standardsetup ausgeführt hast, musst du möglicherweise Änderungen an der Konfiguration vornehmen, um die Codesicherheitsanforderungen besser zu erfüllen. Für vorhandene Konfigurationen des Standardsetups kannst du Folgendes bearbeiten:

  • Folgende Sprachen werden vom Standardsetup analysiert.
  • Die Abfragesuite, die während der Analyse ausgeführt wird. Weitere Informationen zu den verfügbaren Abfragesammlungen finden Sie unter „AUTOTITEL“.
  • Die Gefahrenmodelle (Beta), die für die Analyse verwendet werden sollten Ihre Wahl des Gefahrenmodells bestimmt, welche Quellen von enthaltenen Daten als Risiko für Ihre Anwendung angesehen werden. Bei der Betaversion werden Gefahrenmodelle nur für die Analyse von Java/Kotlin und C# unterstützt. Weitere Informationen zu Gefahrenmodellen finden Sie unter „Einschließen lokaler Quellen von gespeicherten Daten im Standard-Set-up“.

Wenn Ihre Codebasis von einer Bibliothek oder einem Framework abhängt, die von den Standardbibliotheken, die mit CodeQL enthalten sind, nicht erkannt wird, können Sie auch dieCodeQL-Abdeckung im Standardsetup mithilfe von CodeQL-Modellpaketen erweitern. Weitere Informationen finden Sie unter „Erweitern der CodeQL-Abdeckung mit CodeQL-Modellpaketen im Standardsetup“.

Wenn du andere Aspekte der code scanning-Konfiguration ändern musst, solltest du die Konfiguration des erweiterten Setups in Betracht ziehen. Weitere Informationen finden Sie unter „Konfigurieren des erweiterten Setups für das Codescanning“.

Anpassen der vorhandenen Konfiguration des Standardsetups

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke in der Seitenleiste im Abschnitt „Sicherheit“ auf Codesicherheit und -analyse.

  4. Wähle in der Zeile „CodeQL analysis“ im Abschnitt „Code scanning“ die Option aus, und klicke dann auf CodeQL-Konfiguration anzeigen.

  5. Klicke im Fenster „CodeQL-Standardkonfiguration“ auf Bearbeiten.

  6. Optional kannst du im Abschnitt „Sprachen“ die Sprachen für die Analyse auswählen oder deaktivieren.

  7. Wählen Sie optional in der Zeile „Abfrage-Suite“ des Abschnitts „Scaneinstellungen“ eine andere Abfrage-Suite aus, die für Ihren Code ausgeführt werden soll.

  8. (Beta) Wählen Sie optional in der „Gefahrenmodell“-Zeile im Abschnitt „Scaneinstellungen“Remote- und lokale Quellen aus.

  9. Klicke auf Änderungen speichern, um die Konfiguration zu aktualisieren und eine erste Analyse des Codes mit der neuen Konfiguration auszuführen. Alle zukünftigen Analysen verwenden die neue Konfiguration.

Definieren der Warnungsschweregrade, die einen Überprüfungsfehlern bei einem Pull Request verursachen

Wenn Sie code scanning für Pull Requests aktivieren, ist die Überprüfung nur dann nicht erfolgreich, wenn mindestens eine Warnung des Schweregrads error oder des Sicherheitsschweregrads critical oder high erkannt wird. Die Überprüfung ist erfolgreich, wenn Warnungen mit niedrigeren Schweregraden oder Sicherheitsschweregraden erkannt werden. Bei einer wichtigen Codebasis möchten Sie vielleicht, dass die code scanning-Überprüfung nicht erfolgreich ist, wenn beliebige Warnungen erkannt werden, sodass die Warnung behoben oder geschlossen werden muss, bevor die Codeänderung zusammengeführt wird. Weitere Informationen zu Schweregraden finden Sie unter Informationen zu Warnungsschweregraden und Sicherheitsschweregraden.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Verwende unter „Code scanning“ im Abschnitt „Schutzregeln“ das Dropdownmenü, um zu definieren, welche Warnungen einen Überprüfungsfehler verursachen sollen. Wähle eine Ebene für Warnungen vom Typ „Sicherheit“ und eine Ebene für alle anderen Warnungen aus.

Einschließen lokaler Quellen von Daten m Standard-Set-up

Hinweis: Die Gefahrenmodelle befinden sich derzeit in der Betaphase und können noch geändert werden. Bei der Betaversion werden Gefahrenmodelle nur von der Analyse für Java/Kotlin und C# unterstützt.

Wenn in Ihrer Codebasis nur Remote-Netzwerkanfragen als potenzielle Quellen für verdächtige Daten in Frage kommen, empfehlen wir die Verwendung des Standard-Bedrohungsmodells. Wenn Ihre Codebasis andere Quellen als Netzwerkanfragen als potenziell verdächtige Daten ansieht, können Sie Gefahrenmodelle verwenden, um diese zusätzlichen Quellen zu Ihrer CodeQL-Analyse hinzuzufügen. Während der Beta-Phase können Sie lokale Quellen hinzufügen (z. B. Befehlszeilenargumente, Umgebungsvariablen, Dateisysteme und Datenbanken), die in Ihrer Codebasis als zusätzliche Quellen für verdächtige Daten gelten können.

Sie können das in einer Standardkonfiguration verwendete Gefahrenmodell bearbeiten. Weitere Informationen finden Sie unter „Anpassen Ihrer bestehenden Konfiguration der Standardeinstellungen“.

Erweitern der CodeQL Abdeckung mit CodeQL-Modellpaketen im Standardsetup

Hinweis: Die CodeQL-Paketverwaltungsfunktionen, einschließlich CodeQL-Paketen, befinden sich derzeit in der Betaphase und können noch geändert werden. Bei der Betaversion werden Modellpakete nur von der Java/Kotlin und C#-Analyse unterstützt.

Wenn Sie Frameworks und Bibliotheken verwenden, die von den Standardbibliotheken, die in CodeQL enthalten sind, nicht erkannt werden, können Sie Ihre Abhängigkeiten modellieren und die code scanning-Analyse erweitern. Weitere Informationen finden Sie unter Unterstützten Sprachen und Frameworks in der Dokumentation zu CodeQL.

Für das Standardsetup müssen Sie die Modelle Ihrer zusätzlichen Abhängigkeiten in CodeQL-Modellpaketen definieren. Sie können die Abdeckung im Standardsetup mit CodeQL-Modellpaketen für einzelne Repositorys oder in großem Stil für alle Repositorys in einer Organisation erweitern.

Weitere Informationen über CodeQL-Modellpakete und das Schreiben eigener Pakete finden Sie unter „Verwenden des CodeQL-Modell-Editors“.

Erweitern der Abdeckung für ein Repository

  1. Kopieren Sie im .github/codeql/extensions-Verzeichnis des Repositorys das Modellpaketverzeichnis, das eine codeql-pack.yml-Datei und alle .yml-Dateien enthalten soll, die zusätzliche Modelle für die Bibliotheken oder Frameworks enthalten, die Sie in Ihre Analyse einbeziehen möchten.
  2. Die Modellpakete werden automatisch erkannt und in Ihrer code scanning-Analyse verwendet.
  3. Wenn Sie später Ihre Konfiguration ändern, um das erweiterte Setup zu verwenden, werden alle Modellpakete in dem .github/codeql/extensions-Verzeichnis weiterhin erkannt und verwendet.

Erweitern der Abdeckung für alle Repositorys in einer Organisation

Hinweis: Wenn Sie die Abdeckung mit CodeQL-Modellpaketen für alle Repositorys in einer Organisation erweitern, müssen die von Ihnen angegebenen Modellpakete in den GitHub Container registry veröffentlicht werden und für die Repositorys zugänglich sein, die Codeüberprüfung ausführen. Weitere Informationen finden Sie unter „Konfigurieren der Zugriffssteuerung und Sichtbarkeit von Paketen“.

  1. Wähle in der oberen rechten Ecke von GitHub.com dein Profilfoto aus. Klicke dann auf Deine Organisationen.

    Screenshot des Dropdownmenüs unter dem Profilbild von @octocat. „Deine Organisationen“ ist in dunklem Orange eingerahmt.

  2. Klicke unter deinem Organisationsnamen auf die Option Einstellungen. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicken Sie auf Codesicherheit und Analyse.

  4. Lokalisieren Sie den Abschnitt „Code scanning“.

  5. Klicken Sie neben „CodeQL-Analyse erweitern“ auf Konfigurieren.

  6. Geben Sie Verweise auf die veröffentlichten Modellpakete ein, die Sie verwenden möchten, eine pro Zeile, und klicken Sie dann auf Speichern.

    Screenshot der Ansicht „CodeQL-Analyse erweitern“ in den Einstellungen für eine Organisation.

  7. Die Modellpakete werden automatisch erkannt und verwendet, wenn code scanning für jedes Repository in der Organisation ausgeführt werden, wobei das Standardsetup aktiviert ist.