Konfigurieren des Standardsetups für das Codescanning

In diesem Artikel

Du kannst Code in deinem Repository schnell mit dem Standardsetup für das code scanning sichern.

Wer kann dieses Feature verwenden?

People with admin permissions to a repository, or the security manager role for the repository, can configure code scanning for that repository.

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Zur Verwendung von code scanning in einem privaten organisationseigenen Repository musst du über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zum Standardsetup

Das Standardsetup für das code scanning ist die schnellste und einfachste Möglichkeit mit dem geringsten Wartungsaufwand, um das code scanning für dein Repository zu aktivieren. Das Standardsetup erstellt auf Basis des Codes in deinem Repository automatisch eine benutzerdefinierte code scanning-Konfiguration. Nach dem Aktivieren des Standardsetups wird der Code in Ihrem Repository gescannt:

  • nach jedem Pushen in den Standard-Branch des Repositorys oder einen geschützten Branch. Weitere Informationen zu geschützten Branches findest du unter Informationen zu geschützten Branches.
  • beim Erstellen oder Committen eines Pull Requests basierend auf dem Standard-Branch des Repositorys oder einem geschützten Branch.
  • bei einem wöchentlichen Plan.

Hinweis: Wenn in einem Repository seit 60 Tagen keine Push- und Pull Requests ausgeführt wurden, wird der wöchentliche Zeitplan deaktiviert, um deine GitHub Actions Minuten zu sparen.

Du kannst die automatisch ausgewählte Konfiguration des Standardsetups aktivieren, um mit der Überprüfung deines Codes so bald wie möglich zu beginnen, oder du kannst weitere Aspekte der Konfiguration anpassen, damit sie deinen Anforderungen an das code scanning besser gerecht wird. Wenn du die Konfiguration selber anpassen möchtest, kannst du Folgendes auswählen:

  • die Sprachen, die vom Standardsetup analysiert werden
  • die Abfragesammlung, die vom Standardsetup ausgeführt wird Weitere Informationen findest du unter Integrierte CodeQL-Abfragesammlungen.

Du kannst das Standardsetup auch für mehrere oder alle Repositorys in eine Organisation gleichzeitig aktivieren. Informationen zur Massenaktivierung findest du unter Konfigurieren des Standardsetups für das Codescanning im großen Stil.

Mit dem erweiterten Setup für das code scanning erhältst du präzisere Kontrolle über deine code scanning-Konfiguration. Weitere Informationen findest du unter Konfigurieren des erweiterten Setups für das Codescanning.

Anforderungen für die Verwendung des Standardsetups

Dein Repository ist für das Standardsetup des code scanning geeignet, wenn

  • es mindestens eine von CodeQL unterstützte Sprache.
  • GitHub Actions aktiviert ist.
  • das Repository öffentlich sichtbar oder GitHub Advanced Security aktiviert ist.

Du kannst das Standardsetup verwenden, wenn dein Repository Sprachen enthält, die von CodeQL nicht unterstützt werden, z. B. die Sprache R. Weitere Informationen zu den von CodeQL unterstützten Sprachen findest du unter Informationen zu Codescans mit CodeQL.

Informationen zum Hinzufügen von nicht kompilierten Sprachen und kompilierten Sprachen zu deinem Standardsetup

Wenn sich der Code in einem Repository so ändert, dass Go, JavaScript/TypeScript, Python oder Ruby enthalten ist, aktualisiert GitHub automatisch die code scanning-Konfiguration, um die neue Sprache einzuschließen. Wenn beim code scanning mit der neuen Konfiguration ein Fehler auftritt, setzt GitHub automatisch die vorherige Konfiguration fort, damit das code scanning für das Repository weiterhin funktioniert.

Kompilierte Sprachen werden nicht automatisch in die Standardsetupkonfiguration aufgenommen, da sie häufig eine erweiterte Konfiguration erfordern. Du kannst aber jede von CodeQL unterstützte kompilierte Sprache manuell für die Analyse auswählen.

Konfigurieren des Standardsetups für ein Repository

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus. Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke in der Seitenleiste im Abschnitt „Sicherheit“ auf Codesicherheit und -analyse.

  4. Wähle im Abschnitt „Code scanning“ die Option Setup aus, und klicke dann auf Standard.

    Screenshot: Abschnitt „Code scanning“ der Einstellungen für Codesicherheit und -analyse. Die Schaltfläche „Standardeinrichtung“ ist mit einem orangefarbenen Umriss hervorgehoben.

    Daraufhin wird das Dialogfeld „CodeQL-Standardkonfiguration“ angezeigt, in dem die code scanning-Konfiguration zusammengefasst wird, die automatisch vom Standardsetup erstellt wurde.

Hinweis: Wenn dein Repository nur von CodeQL kompilierte unterstützte Sprachen enthält (z. B. Java), wirst du zur Einstellungsseite weitergeleitet, um die Sprachen auszuwählen, die du deiner Standardsetupkonfiguration hinzufügen möchtest.

  1. Um dein code scanning-Setup anzupassen, klicke optional auf Bearbeiten.

    • Um der vom Standardsetup durchgeführten Analyse eine Sprache hinzuzufügen oder daraus zu entfernen, aktiviere oder deaktiviere diese Sprache im Abschnitt „Sprachen“. Wenn du eine von CodeQL unterstützte kompilierte Sprache mit dem Standardsetup analysieren möchtest, wähle diese Sprache hier aus.
    • Um die CodeQL-Abfragesammlung anzugeben, die du verwenden möchtest, wähle im Abschnitt „Abfragesammlungen“ deine bevorzugte Abfragesammlung aus.

  2. Überprüfe die Einstellungen für das Standardsetup in deinem Repository, und klicke dann auf CodeQL aktivieren. Dadurch wird ein Workflow ausgelöst, der die neue, automatisch generierte Konfiguration testet.

    Hinweis: Wenn du vom erweiterten zum Standardsetup wechselst, wird dir eine Warnung angezeigt, die dich darüber informiert, dass das Standardsetup deine vorhandenen code scanning-Konfigurationen überschreibt. Diese Warnung bedeutet, dass das Standardsetup die vorhandene Workflowdatei deaktiviert und jegliche Uploads der CodeQL-Analyse-API blockiert.

  3. Um nach der Neuaktivierung deine Standardsetupkonfiguration einzusehen, wähle optional aus, und klicke dann auf CodeQL-Konfiguration anzeigen.

Nächste Schritte

Nachdem du das Standardsetup für das code scanning konfiguriert hast und deine Konfiguration mindestens einmal erfolgreich ausgeführt wurde, kannst du code scanning-Warnungen untersuchen und beheben. Weitere Informationen zu code scanning-Warnungen findest du unter Informationen zu Codeüberprüfungswarnungen und Verwalten von Codescanwarnungen für dein Repository.

Ausführliche Informationen zu deiner code scanning-Konfiguration, einschließlich Zeitstempeln für jede Überprüfung und dem Prozentsatz der überprüften Dateien, findest du auf der Seite „Toolstatus“. Weitere Informationen findest du unter Informationen zur Toolstatusseite für die Codeüberprüfung.

Beim Konfigurieren des Standardsetups tritt möglicherweise ein Fehler auf. Weitere Informationen zum Behandeln bestimmter Fehlern findest du unter Problembehandlung bei der Codeüberprüfung.