Skip to main content

Bearbeiten der Konfiguration des Standardsetups

Du kannst die vorhandene Konfiguration des Standardsetups für code scanning bearbeiten, um die Codesicherheitsanforderungen besser zu erfüllen.

Wer kann dieses Feature verwenden?

Code scanning ist für organisationseigene Repositorys in GitHub Enterprise Server verfügbar. Dieses Feature erfordert eine Lizenz für GitHub Advanced Security. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zum Bearbeiten der Standardsetupkonfiguration

Nachdem du eine erste Analyse des Codes mit dem Standardsetup ausgeführt hast, musst du möglicherweise Änderungen an der Konfiguration vornehmen, um die Codesicherheitsanforderungen besser zu erfüllen. Für vorhandene Konfigurationen des Standardsetups kannst du Folgendes bearbeiten:

  • Folgende Sprachen werden vom Standardsetup analysiert.
  • Die Abfragesuite, die während der Analyse ausgeführt wird. Weitere Informationen zu den verfügbaren Abfragesammlungen finden Sie unter „AUTOTITEL“.

Wenn Ihre Codebasis von einer Bibliothek oder einem Framework abhängt, die von den Standardbibliotheken, die mit CodeQL enthalten sind, nicht erkannt wird, können Sie auch dieCodeQL-Abdeckung im Standardsetup mithilfe von CodeQL-Modellpaketen erweitern. Weitere Informationen finden Sie unter „Erweitern der CodeQL-Abdeckung mit CodeQL-Modellpaketen im Standardsetup“.

Wenn du andere Aspekte der code scanning-Konfiguration ändern musst, solltest du die Konfiguration des erweiterten Setups in Betracht ziehen. Weitere Informationen finden Sie unter „Konfigurieren des erweiterten Setups für das Codescanning“.

Anpassen der vorhandenen Konfiguration des Standardsetups

  1. Navigiere auf Ihre GitHub Enterprise Server-Instance zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke in der Seitenleiste im Abschnitt „Sicherheit“ auf Codesicherheit und -analyse.

  4. Wähle in der Zeile „CodeQL analysis“ im Abschnitt „Code scanning“ die Option aus, und klicke dann auf CodeQL-Konfiguration anzeigen.

  5. Klicke im Fenster „CodeQL-Standardkonfiguration“ auf Bearbeiten.

  6. Optional kannst du im Abschnitt „Sprachen“ die Sprachen für die Analyse auswählen oder deaktivieren.

  7. Wählen Sie optional in der Zeile „Abfrage-Suite“ des Abschnitts „Scaneinstellungen“ eine andere Abfrage-Suite aus, die für Ihren Code ausgeführt werden soll.

  8. Klicke auf Änderungen speichern, um die Konfiguration zu aktualisieren und eine erste Analyse des Codes mit der neuen Konfiguration auszuführen. Alle zukünftigen Analysen verwenden die neue Konfiguration.

Definieren der Warnungsschweregrade, die einen Überprüfungsfehlern bei einem Pull Request verursachen

Wenn Sie code scanning für Pull Requests aktivieren, ist die Überprüfung nur dann nicht erfolgreich, wenn mindestens eine Warnung des Schweregrads error oder des Sicherheitsschweregrads critical oder high erkannt wird. Die Überprüfung ist erfolgreich, wenn Warnungen mit niedrigeren Schweregraden oder Sicherheitsschweregraden erkannt werden. Bei einer wichtigen Codebasis möchten Sie vielleicht, dass die code scanning-Überprüfung nicht erfolgreich ist, wenn beliebige Warnungen erkannt werden, sodass die Warnung behoben oder geschlossen werden muss, bevor die Codeänderung zusammengeführt wird. Weitere Informationen zu Schweregraden finden Sie unter Informationen zu Warnungsschweregraden und Sicherheitsschweregraden.

  1. Navigiere auf Ihre GitHub Enterprise Server-Instance zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Verwende unter „Code scanning“ rechts neben „Überprüfungsfehler“ das Dropdownmenü, um den Schweregrad auszuwählen, den du als Auslöser für einen Pull-Request-Überprüfungsfehler festlegen möchtest.

Erweitern der CodeQL Abdeckung mit CodeQL-Modellpaketen im Standardsetup

Hinweis: Die CodeQL-Paketverwaltungsfunktionen, einschließlich CodeQL-Paketen, befinden sich derzeit in der Betaphase und können noch geändert werden. Bei der Betaversion werden Modellpakete nur von der Java/Kotlin-Analyse unterstützt.

Wenn Sie Frameworks und Bibliotheken verwenden, die von den Standardbibliotheken, die in CodeQL enthalten sind, nicht erkannt werden, können Sie Ihre Abhängigkeiten modellieren und die code scanning-Analyse erweitern. Weitere Informationen finden Sie unter Unterstützten Sprachen und Frameworks in der Dokumentation zu CodeQL.

Für das Standardsetup müssen Sie die Modelle Ihrer zusätzlichen Abhängigkeiten in CodeQL-Modellpaketen definieren. Sie können die Abdeckung im Standardsetup mit CodeQL-Modellpaketen für einzelne Repositorys oder in großem Stil für alle Repositorys in einer Organisation erweitern.

Weitere Informationen über CodeQL-Modellpakete und das Schreiben eigener Pakete finden Sie unter „Verwenden des CodeQL-Modell-Editors“.

Erweitern der Abdeckung für ein Repository

  1. Kopieren Sie im .github/codeql/extensions-Verzeichnis des Repositorys das Modellpaketverzeichnis, das eine codeql-pack.yml-Datei und alle .yml-Dateien enthalten soll, die zusätzliche Modelle für die Bibliotheken oder Frameworks enthalten, die Sie in Ihre Analyse einbeziehen möchten.
  2. Die Modellpakete werden automatisch erkannt und in Ihrer code scanning-Analyse verwendet.
  3. Wenn Sie später Ihre Konfiguration ändern, um das erweiterte Setup zu verwenden, werden alle Modellpakete in dem .github/codeql/extensions-Verzeichnis weiterhin erkannt und verwendet.

Erweitern der Abdeckung für alle Repositorys in einer Organisation

Hinweis: Wenn Sie die Abdeckung mit CodeQL-Modellpaketen für alle Repositorys in einer Organisation erweitern, müssen die von Ihnen angegebenen Modellpakete in den GitHub Container registry veröffentlicht werden und für die Repositorys zugänglich sein, die Codeüberprüfung ausführen. Weitere Informationen finden Sie unter „Konfigurieren der Zugriffssteuerung und Sichtbarkeit von Paketen“.

  1. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.

  2. Klicke unter deinem Organisationsnamen auf die Option Einstellungen. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicken Sie auf Codesicherheit und Analyse.

  4. Lokalisieren Sie den Abschnitt „Code scanning“.

  5. Klicken Sie neben „CodeQL-Analyse erweitern“ auf Konfigurieren.

  6. Geben Sie Verweise auf die veröffentlichten Modellpakete ein, die Sie verwenden möchten, eine pro Zeile, und klicken Sie dann auf Speichern.

    Screenshot der Ansicht „CodeQL-Analyse erweitern“ in den Einstellungen für eine Organisation.

  7. Die Modellpakete werden automatisch erkannt und verwendet, wenn code scanning für jedes Repository in der Organisation ausgeführt werden, wobei das Standardsetup aktiviert ist.