Informationen zum Standardsetup
Das Standardsetup für das code scanning ist die schnellste und einfachste Möglichkeit mit dem geringsten Wartungsaufwand, um das code scanning für dein Repository zu aktivieren. Das Standardsetup erstellt auf Basis des Codes in deinem Repository automatisch eine benutzerdefinierte code scanning-Konfiguration. Nach dem Aktivieren des Standardsetups wird der Code in CodeQL-unterstützten Sprachen in deinem Repository überprüft:
- Nach jedem Pushen in den Standard-Branch des Repositorys oder einen geschützten Branch. Weitere Informationen zu geschützten Branches findest du unter Informationen zu geschützten Branches.
- Beim Erstellen oder Festschreiben einer Pull-Anfrage basierend auf dem Standardzweig des Repositorys oder einem beliebigen geschützten Zweig, ausgenommen Pull-Anfragen von Forks.
- Bei einem wöchentlichen Plan.
Note
Wenn in einem Repository mit aktiviertem Standardsetup seit 6 Monaten keine Pushes und Pull Requests ausgeführt wurden, wird der wöchentliche Zeitplan deaktiviert, um GitHub Actions-Minuten zu sparen.
Du kannst das Standard-Setup auch für mehrere oder alle Repositorys in einer Organisation gleichzeitig aktivieren. Informationen zur Massenaktivierung findest du unter Konfigurieren des Standardsetups für das Codescanning im großen Stil.
Mit dem erweiterten Setup für das code scanning erhältst du präzisere Kontrolle über deine code scanning-Konfiguration. Weitere Informationen findest du unter Konfigurieren des erweiterten Setups für das Codescanning.
Anforderungen für die Verwendung des Standardsetups
Dein Repository ist für das Standardsetup des code scanning geeignet, wenn:
- Es enthält mindestens eine von CodeQL unterstützte Sprache.
- GitHub Actions aktiviert ist.
- GitHub Advanced Security ist aktiviert.
Wenn dein Repository mindestens eine von CodeQL unterstützte Sprache enthält, kannst du das Standardsetup auch verwenden, wenn dein Repository auch Sprachen enthält, die von CodeQL nicht unterstützt werden, wie zum Beispiel nicht von R. Nicht unterstützte Sprachen werden nicht standardmäßig durchsucht. Weitere Informationen zu den von CodeQL unterstützten Sprachen finden Sie unter Informationen zu Codescans mit CodeQL.
Sie können das Standardsetup mit selbst gehosteten Runnern für alle von CodeQL-unterstützten Sprachen verwenden. Das Standard-Setup führt die autobuild
Aktion aus. Daher sollten Sie Ihre selbst gehosteten Runner konfigurieren, um sicherzustellen, dass sie alle erforderlichen Befehle für die C/C++, C#, Go, Java, Kotlin und Swift-Analyse ausführen können. Die Analyse von Javascript/TypeScript, Go, Ruby, Python und Kotlin erfordert derzeit keine spezielle Konfiguration.
Anpassen des Standardsetups
Es wird empfohlen, code scanning mit der Standardeinrichtung zu verwenden. Nachdem du das Standardsetup konfiguriert haben, kannst du code scanning auswerten, um zu sehen, wie es für dich funktioniert. Wenn du feststellst, dass etwas nicht wie erwartet funktioniert, kannst du das Standardsetup anpassen, um deine Codesicherheitsanforderungen besser zu erfüllen. Weitere Informationen findest du unter Auswerten des Standardsetups für die Codeüberprüfung.
Informationen zum Hinzufügen von nicht kompilierten Sprachen und kompilierten Sprachen zu deinem Standardsetup
Wenn sich der Code in einem Repository so ändert, dass Go, JavaScript/TypeScript, Python oder Ruby enthalten ist, aktualisiert GitHub automatisch die code scanning-Konfiguration, um die neue Sprache einzuschließen. Wenn beim code scanning mit der neuen Konfiguration ein Fehler auftritt, setzt GitHub automatisch die vorherige Konfiguration fort, damit das code scanning für das Repository weiterhin funktioniert.
Kompilierte Sprachen werden nicht automatisch in die Standardsetupkonfiguration aufgenommen, da sie häufig eine erweiterte Konfiguration erfordern. Du kannst aber jede von CodeQL unterstützte kompilierte Sprache manuell für die Analyse auswählen.
Konfigurieren des Standardsetups für ein Repository
Note
Mindestens eine von CodeQL unterstützte Sprache in einem Repository muss erfolgreich analysiert werden. Andernfalls wird das Standardsetup in diesem Repository nicht erfolgreich aktiviert.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
Note
Wenn du das Standardsetup für einen Fork konfigurierst, musst du zuerst GitHub Actions aktivieren. Um GitHub Actions zu aktivieren, klicken Sie unter Ihrem Repositorynamen auf Actions (Aktionen), und klicken Sie dann auf I understand my workflows, go ahead and enable them (Ich verstehe meine Workflows, und sie sollen aktiviert werden). Beachten Sie, dass dadurch alle vorhandenen Workflows in Ihrer Verzweigung aktiviert werden.
-
Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Sicherheit“ auf der Seitenleiste auf Codesicherheit und -analyse.
-
Wählen Sie im Abschnitt „Code scanning“ die Option Setup aus, und klicken Sie dann auf Standard.
Daraufhin wird das Dialogfeld „CodeQL-Standardkonfiguration“ angezeigt, in dem die code scanning-Konfiguration zusammengefasst wird, die automatisch vom Standardsetup erstellt wurde.
Note
Wenn dein Repository nur von CodeQL kompilierte unterstützte Sprachen enthält (z. B. Java), wirst du zur Einstellungsseite weitergeleitet, um die Sprachen auszuwählen, die du deiner Standardsetupkonfiguration hinzufügen möchtest.
-
Um dein code scanning-Setup anzupassen, klicke optional auf Bearbeiten.
- Um der vom Standardsetup durchgeführten Analyse eine Sprache hinzuzufügen oder daraus zu entfernen, aktiviere oder deaktiviere diese Sprache im Abschnitt „Sprachen“. Wenn Sie eine von CodeQL unterstützte kompilierte Sprache mit Standardsetup analysieren möchten, wählen Sie diese Sprache hier aus.
- Um die CodeQL-Abfragesammlung anzugeben, die du verwenden möchtest, wähle im Abschnitt „Abfragesammlungen“ deine bevorzugte Abfragesammlung aus.
-
Überprüfe die Einstellungen für das Standardsetup in deinem Repository, und klicke dann auf CodeQL aktivieren. Dadurch wird ein Workflow ausgelöst, der die neue, automatisch generierte Konfiguration testet.
Note
Wenn du vom erweiterten zum Standardsetup wechselst, wird dir eine Warnung angezeigt, dass das Standardsetup deine vorhandenen code scanning-Konfigurationen überschreibt. Diese Warnung bedeutet, dass das Standardsetup die vorhandene Workflowdatei deaktiviert und jegliche Uploads der CodeQL-Analyse-API blockiert.
-
Um nach der Neuaktivierung deine Standardsetupkonfiguration einzusehen, wähle optional aus, und klicke dann auf CodeQL-Konfiguration anzeigen.
Nächste Schritte
Nachdem deine Konfiguration mindestens einmal erfolgreich ausgeführt wurde, kannst du code scanning-Warnungen untersuchen und beheben. Weitere Informationen zu code scanning-Warnungen findest du unter Informationen zu Codeüberprüfungswarnungen und Bewerten von Warnungen der Codeüberprüfung für das Repository.
Nachdem du das Standardsetup fürcode scanning konfiguriert hast, kannst du dich darüber informieren, wie du auswerten kannst, wie gut das Ganze für dich funktioniert, sowie über die nächsten Schritte, die du ausführen kannst, um es anzupassen. Weitere Informationen findest du unter Auswerten des Standardsetups für die Codeüberprüfung.
Ausführliche Informationen zu deiner code scanning-Konfiguration, einschließlich Zeitstempeln für jede Überprüfung und dem Prozentsatz der überprüften Dateien, findest du auf der Seite „Toolstatus“. Weitere Informationen findest du unter Informationen zur Toolstatusseite für die Codeüberprüfung.
Beim Konfigurieren des Standardsetups tritt möglicherweise ein Fehler auf. Weitere Informationen zum Behandeln bestimmter Fehlern findest du unter Problembehandlung bei der Codeüberprüfung.