Konfigurieren des Standardsetups für das Codescanning im großen Stil

Du kannst das code scanning für Repositorys innerhalb deiner Organisation schnell konfigurieren, indem du das Standardsetup verwendest.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

Code scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys auf GitHub.com
  • Organisationseigene Repositorys in GitHub Enterprise Cloud mit aktivierter GitHub Advanced Security

In diesem Artikel

Informationen zum Konfigurieren des Standardsetups im großen Stil

Mit dem Standardsetup für das code scanning kannst du Code in Repositorys innerhalb deiner Organisation schnell sichern.

code scanning kann für alle berechtigten Repositorys in der Organisation, die für die Standardeinrichtung in Frage kommen, aktiviert werden. Nach dem Aktivieren des Standardsetups wird der Code in CodeQL-unterstützten Sprachen in den Repositorys der Organisation überprüft:

  • Nach jedem Pushen in den Standard-Branch des Repositorys oder einen geschützten Branch. Weitere Informationen zu geschützten Branches findest du unter Informationen zu geschützten Branches.
  • Beim Erstellen oder Festschreiben einer Pull-Anfrage basierend auf dem Standardzweig des Repositorys oder einem beliebigen geschützten Zweig, ausgenommen Pull-Anfragen von Forks.
  • In einem wöchentlichen Zeitplan.

Weitere Informationen findest du unter Konfigurieren des Standardsetups für alle geeigneten Repositorys in einer Organisation.

Zudem kannst du die Sicherheitsübersicht verwenden, um mehrere Repositorys in deiner Organisation zu finden und das Standardsetup für alle gleichzeitig zu aktivieren oder zu deaktivieren. Weitere Informationen findest du unter Konfigurieren des Standardsetups für eine Teilmenge der Repositorys in einer Organisation.

Du kannst auch unterschiedliche Standardsetupkonfigurationen für einzelne Repositorys erstellen. Weitere Informationen zum Konfigurieren des Standardsetups auf Repositoryebene findest du unter Konfigurieren des Standardsetups für das Codescanning.

Für Repositorys, die nicht für das Standardsetup geeignet sind, kannst du das erweiterte Setup auf Repository- oder Organisationsebene mithilfe eines Skripts konfigurieren. Weitere Informationen findest du unter Konfigurieren des erweiterten Setups für das Codescanning mit CodeQL im großen Stil.

Geeignete Repositorys für das CodeQL-Standardsetup

Ein Repository muss alle folgenden Kriterien erfüllen, um für das Standardsetup geeignet zu sein, andernfalls musst du die erweiterte Einrichtung verwenden.

  • Der erweiterte Setup für code scanning ist noch nicht aktiviert.
  • GitHub Actions sind aktiviert.
  • Das Repository ist öffentlich sichtbar, oder GitHub Advanced Security ist aktiviert.

Es wird empfohlen, das Standardsetup für berechtigte Repositorys zu aktivieren, wenn die Repositorys in Zukunft mindestens eine von CodeQL unterstützte Sprache enthalten. Wenn du das Standardsetup für ein Repository aktivierst, das keine von CodeQL unterstützten Sprachen enthält, führt das Standardsetup keine Scans aus und nutzt keine GitHub Actions-Minuten. Wenn von CodeQL unterstützte Sprachen zum Repository hinzugefügt werden, beginnt das Standardsetup automatisch mit dem Scannen der von CodeQL unterstützten Sprachen und der Nutzung von GitHub Actions-Minuten. Weitere Informationen zu den von CodeQL unterstützten Sprachen finden Sie unter Informationen zu Codescans mit CodeQL.

Hinweis: Das Konfigurieren des Standardsetups für alle Repositorys in einer Organisation über die Einstellungsseite deiner Organisation überschreibt keine vorhandenen Konfigurationen des Standardsetups. Das Konfigurieren des Standardsetups für eine Teilmenge von Repositorys in einer Organisation über die Sicherheitsübersicht überschreibt jedoch vorhandene Konfigurationen des Standardsetups für diese Repositorys.

Informationen zum Hinzufügen von Sprachen zu einem vorhandenen Standardsetupkonfiguration

Wenn sich der Code in einem Repository so ändert, dass eine von CodeQL unterstützte Sprache enthalten ist, aktualisiert GitHub automatisch die code scanning-Konfiguration, um die neue Sprache einzuschließen. Wenn beim code scanning mit der neuen Konfiguration ein Fehler auftritt, setzt GitHub automatisch die vorherige Konfiguration fort, damit das code scanning für das Repository weiterhin funktioniert.

Konfigurieren des Standardsetups für alle geeigneten Repositorys in einer Organisation

Die Standardeinrichtung kann für alle in Frage kommenden Repositorys in der Organisation aktiviert werden. Weitere Informationen findest du unter Anwendung der von GitHub empfohlenen Sicherheitskonfiguration in Ihrer Organisation.

Erweitern der CodeQL-Abdeckung im Standard-Setup

Über die Seite mit den Sicherheitseinstellungen Ihres Unternehmens können Sie die Standardabdeckung mit Modellpaketen für alle in Frage kommenden Repositories in Ihrem Unternehmen erweitern. Weitere Informationen findest du unter Bearbeiten der Konfiguration des Standardsetups.

Konfigurieren des Standardsetups für eine Teilmenge von Repositorys in einer Organisation

Sie können nach bestimmten Repositorys filtern, für die Sie die Standardeinrichtung konfigurieren möchten. Weitere Informationen findest du unter Anwenden einer benutzerdefinierten Sicherheitskonfiguration.

Du kannst alle für das Standardsetup geeigneten Repositorys über die Sicherheitsübersicht deiner Organisation finden. Dort kannst du das Standardsetup für alle Repositorys gleichzeitig aktivieren. Weitere Informationen zur Eignung von Repositorys findest du unter Geeignete Repositorys für das CodeQL Standardsetup im großen Stil.

Ermitteln von Repositorys, die für das Standardsetup geeignet sind

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke in der Randleiste auf Abdeckung, um die Ansicht „Sicherheitsabdeckung“ anzuzeigen.

    Screenshot der Ansicht „Sicherheitsabdeckung“.

  4. Gib in der Suchleiste eine der folgenden Abfragen ein:

    • code-scanning-default-setup:eligible is:public zeigt Repositorys an, die für das Standardsetup berechtigt sind, da sie für die Öffentlichkeit sichtbar und GitHub Actions aktiviert sind.
    • code-scanning-default-setup:eligible advanced-security:enabled zeigt private oder interne Repositorys an, die für das Standardsetup in Frage kommen, weil sie sowohl GitHub Advanced Security als auch GitHub Actions aktiviert haben.
    • code-scanning-default-setup:not-eligible zeigt Repositorys an, die aus folgenden Gründen für die standardmäßige Setupaktivierung in großem Umfang geeignet sind:
      • Die Repositorys verfügen bereits über vorhandene Konfigurationen des erweiterten Setups.
      • Für die Repositorys ist GitHub Actions nicht aktiviert.
      • Die Repositorys sind privat oder intern und GitHub Advanced Security ist für sie nicht aktiviert.

Konfigurieren des Zusammenführungsschutzes für alle Repositorys in einer Organisation

Sie können Regelsätze verwenden, um zu verhindern, dass Pull Requests zusammengeführt werden, wenn eine der folgenden Bedingungen erfüllt ist:

  • Ein erforderliches Tool hat eine code scanning-Warnung eines Schweregrads gefunden, der in einem Regelsatz definiert ist.

  • Eine erforderliche % data variables.product.prodname_code_scanning %}-Toolanalyse wird noch ausgeführt.

  • Für das Repository ist kein erforderliches code scanning-Tool konfiguriert.

Weitere Informationen findest du unter Festlegen des Zusammenführungsschutzes für Codeüberprüfung. Weitere allgemeine Informationen zu Regelsätzen finden Sie unter „Informationen zu Regelsätzen.“