Skip to main content

Bearbeiten der Konfiguration des Standardsetups

Du kannst die vorhandene Konfiguration des Standardsetups für code scanning bearbeiten, um die Codesicherheitsanforderungen besser zu erfüllen.

Wer kann dieses Feature verwenden?

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Zur Verwendung von code scanning in einem privaten organisationseigenen Repository musst du über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zum Bearbeiten der Standardsetupkonfiguration

Nachdem du eine erste Analyse des Codes mit dem Standardsetup ausgeführt hast, musst du möglicherweise Änderungen an der Konfiguration vornehmen, um die Codesicherheitsanforderungen besser zu erfüllen. Für vorhandene Konfigurationen des Standardsetups kannst du Folgendes bearbeiten:

  • Folgende Sprachen werden vom Standardsetup analysiert.
  • Die Abfragesuite, die während der Analyse ausgeführt wird. Weitere Informationen zu den verfügbaren Abfragesammlungen finden Sie unter „AUTOTITEL“.
  • Die Gefahrenmodelle (Beta), die für die Analyse verwendet werden sollten Ihre Wahl des Gefahrenmodells bestimmt, welche Quellen von enthaltenen Daten als Risiko für Ihre Anwendung angesehen werden. Bei der Betaversion werden Gefahrenmodelle nur für die Analyse von Java/Kotlin und C# unterstützt. Weitere Informationen zu Gefahrenmodellen finden Sie unter „Einschließen lokaler Quellen von gespeicherten Daten im Standard-Set-up“.

Wenn Ihre Codebasis von einer Bibliothek oder einem Framework abhängt, die von den Standardbibliotheken, die mit CodeQL enthalten sind, nicht erkannt wird, können Sie auch dieCodeQL-Abdeckung im Standardsetup mithilfe von CodeQL-Modellpaketen erweitern. Weitere Informationen finden Sie unter „Erweitern der CodeQL-Abdeckung mit CodeQL-Modellpaketen im Standardsetup“.

Wenn du andere Aspekte der code scanning-Konfiguration ändern musst, solltest du die Konfiguration des erweiterten Setups in Betracht ziehen. Weitere Informationen findest du unter Konfigurieren des erweiterten Setups für das Codescanning.

Anpassen der vorhandenen Konfiguration des Standardsetups

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke in der Seitenleiste im Abschnitt „Sicherheit“ auf Codesicherheit und -analyse.

  4. Wähle in der Zeile „CodeQL analysis“ im Abschnitt „Code scanning“ die Option aus, und klicke dann auf CodeQL-Konfiguration anzeigen.

  5. Klicke im Fenster „CodeQL-Standardkonfiguration“ auf Bearbeiten.

  6. Optional kannst du im Abschnitt „Sprachen“ die Sprachen für die Analyse auswählen oder deaktivieren.

  7. Wählen Sie optional in der Zeile „Abfrage-Suite“ des Abschnitts „Scaneinstellungen“ eine andere Abfrage-Suite aus, die für Ihren Code ausgeführt werden soll.

  8. (Beta) Wählen Sie optional in der „Gefahrenmodell“-Zeile im Abschnitt „Scaneinstellungen“Remote- und lokale Quellen aus.

  9. Klicke auf Änderungen speichern, um die Konfiguration zu aktualisieren und eine erste Analyse des Codes mit der neuen Konfiguration auszuführen. Alle zukünftigen Analysen verwenden die neue Konfiguration.

Definieren der Warnungsschweregrade, die einen Überprüfungsfehlern bei einem Pull Request verursachen

Wenn Sie code scanning für Pull Requests aktivieren, ist die Überprüfung nur dann nicht erfolgreich, wenn mindestens eine Warnung des Schweregrads error oder des Sicherheitsschweregrads critical oder high erkannt wird. Die Überprüfung ist erfolgreich, wenn Warnungen mit niedrigeren Schweregraden oder Sicherheitsschweregraden erkannt werden. Bei einer wichtigen Codebasis möchten Sie vielleicht, dass die code scanning-Überprüfung nicht erfolgreich ist, wenn beliebige Warnungen erkannt werden, sodass die Warnung behoben oder geschlossen werden muss, bevor die Codeänderung zusammengeführt wird. Weitere Informationen zu Schweregraden finden Sie unter Informationen zu Warnungsschweregraden und Sicherheitsschweregraden.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Verwende unter „Code scanning“ im Abschnitt „Schutzregeln“ das Dropdownmenü, um zu definieren, welche Warnungen einen Überprüfungsfehler verursachen sollen. Wähle eine Ebene für Warnungen vom Typ „Sicherheit“ und eine Ebene für alle anderen Warnungen aus.

Einschließen lokaler Quellen von Daten m Standard-Set-up

Hinweis: Die Gefahrenmodelle befinden sich derzeit in der Betaphase und können noch geändert werden. Bei der Betaversion werden Gefahrenmodelle nur von der Analyse für Java/Kotlin und C# unterstützt.

Wenn in Ihrer Codebasis nur Remote-Netzwerkanfragen als potenzielle Quellen für verdächtige Daten in Frage kommen, empfehlen wir die Verwendung des Standard-Bedrohungsmodells. Wenn Ihre Codebasis andere Quellen als Netzwerkanfragen als potenziell verdächtige Daten ansieht, können Sie Gefahrenmodelle verwenden, um diese zusätzlichen Quellen zu Ihrer CodeQL-Analyse hinzuzufügen. Während der Beta-Phase können Sie lokale Quellen hinzufügen (z. B. Befehlszeilenargumente, Umgebungsvariablen, Dateisysteme und Datenbanken), die in Ihrer Codebasis als zusätzliche Quellen für verdächtige Daten gelten können.

Sie können das in einer Standardkonfiguration verwendete Gefahrenmodell bearbeiten. Weitere Informationen finden Sie unter „Anpassen Ihrer bestehenden Konfiguration der Standardeinstellungen“.

Erweitern der CodeQL Abdeckung mit CodeQL-Modellpaketen im Standardsetup

Hinweis: Modellpakete befinden sich derzeit in der Betaphase und können noch geändert werden. Bei der Betaversion werden Modellpakete nur von der Java/Kotlin und C#-Analyse unterstützt.

Wenn Sie Frameworks und Bibliotheken verwenden, die von den Standardbibliotheken, die in CodeQL enthalten sind, nicht erkannt werden, können Sie Ihre Abhängigkeiten modellieren und die code scanning-Analyse erweitern. Weitere Informationen finden Sie unter Unterstützten Sprachen und Frameworks in der Dokumentation zu CodeQL.

Für die Standardeinrichtung müssen Sie die Modelle Ihrer zusätzlichen Abhängigkeiten in einem CodeQL Modellpaket in Ihrem Repository definieren. Weitere Informationen zu CodeQL-Modellpaketen und der Erstellung eigener solcher finden Sie unter Nutzung des CodeQL-Modell Editors in der Dokumentation zu CodeQL.

Wenn SieCodeQL-Modellpakete mit Standardsetup verwenden möchten, platzieren Sie sie im Verzeichnis .github/codeql/extensions. Sie werden automatisch erkannt und in Ihrer code scanning-Analyse verwendet. Wenn Sie ihre Konfiguration später so ändern, dass erweitertes Setup verwendet wird, werden alle Datenerweiterungen im Verzeichnis .github/codeql/extensions weiterhin erkannt und verwendet.