Konfigurieren des erweiterten Setups für das Codescanning

Du kannst das erweiterte Setup für ein Repository einrichten, um Sicherheitsrisiken in deinem Code mithilfe von extrem anpassbarer code scanning-Konfiguration zu ermitteln.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

Organisationseigene Repositorys mit aktivierter GitHub Advanced Security

In diesem Artikel

Note

Der Websiteadministrator muss code scanning aktivieren, damit du dieses Feature verwenden kannst. Wenn du GitHub Actions zum Überprüfen deines Codes verwenden möchtest, muss der Websiteadministrator auch GitHub Actions aktivieren und die erforderliche Infrastruktur einrichten. Weitere Informationen finden Sie unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.

Informationen zum erweiterten Setup für code scanning

Das erweiterte Setup für das code scanning ist hilfreich, wenn du das code scanning anpassen musst. Indem Sie eine Workflow-Datei erstellen und bearbeiten, können Sie festlegen, wie kompilierte Sprachen erstellt, welche Abfragen ausgeführt und welche Sprachen gescannt werden sollen, wie eine Matrix erstellt wird und vieles mehr. Sie haben auch Zugriff auf alle Optionen für die Steuerung von Workflows, z. B. das Ändern des Scanzeitplans, das Definieren von Workflow-Triggern und die Angabe von fachspezifischen Runnern. Weitere Informationen zu GitHub Actions-Workflows findest du unter Informationen zu Workflows.

Ihr Site-Administrator kann für das code scanning auch Aktionen von Drittanbietern für Benutzer*innen zur Verfügung stellen, indem er/sie GitHub Connect einrichtet. Weitere Informationen finden Sie unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.

Wenn du die Codeüberprüfung mit mehreren Konfigurationen ausführst, kann es passieren, dass eine Warnung mehrere Analyseursprünge aufweist. Wenn eine Warnung mehrere Analyseursprünge hat, kannst du den Status der Warnung für jeden Analyseursprung auf der Warnungsseite einsehen. Weitere Informationen finden Sie unter Informationen zu Codeüberprüfungswarnungen.

Note

In diesem Artikel werden die Features beschrieben, die in der Version der CodeQL-Aktion und dem zugehörigen CodeQL CLI-Bundle im ursprünglichen Release dieser Version von GitHub Enterprise Server enthalten sind. Wenn dein Unternehmen eine neuere Version der CodeQL-Aktion verwendet, findest du Informationen zu den neuesten Features in der GitHub Enterprise Cloud-Version dieses Artikels. Informationen zum Verwenden der aktuellen Version findest du unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.

Wenn du keine hochgradig anpassbare code scanning-Konfiguration benötigst, solltest du das Standardsetup des code scanning verwenden. Weitere Informationen zur Eignung des Standardsetups findest du unter Konfigurieren des Standardsetups für das Codescanning.

Voraussetzungen

Dein Repository ist für den erweiterten Setup berechtigt, wenn es diese Anforderungen erfüllt.

  • Es werden CodeQL-unterstützte Sprachen verwendet, oder Sie planen, Code-Scan-Ergebnisse mit einem Drittanbieter-Tool zu generieren.
  • GitHub Actions aktiviert ist.
  • GitHub Advanced Security ist aktiviert.

Wenn der Server, auf dem Sie GitHub Enterprise Server ausführen, nicht mit dem Internet verbunden ist, kann Ihr Websiteadministrator CodeQL code scanning aktivieren, indem er das CodeQL-Analysepaket auf dem Server verfügbar macht. Weitere Informationen finden Sie unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.

Konfigurieren des erweiterten Setups für das code scanning mit CodeQL

Sie können Ihre CodeQL Analyse anpassen, indem Sie eine Workflow-Datei erstellen und bearbeiten. Wenn Sie die erweiterte Einrichtung wählen, wird eine Basis-Workflow-Datei generiert, die Sie mithilfe der Standard-Workflow-Syntax und unter Angabe von Optionen für die Aktion CodeQL anpassen können. Informationen findest du unter Informationen zu Workflows und Anpassen des erweiterten Setups für das Codescanning.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Seitenleiste auf Code security and analysis.

  4. Scrolle zum Abschnitt „Code scanning“ die Option Setup aus, und klicke dann auf Erweitert.

    Note

    Wenn du vom Standardsetup zum erweiterten Setup wechselst, musst du im Abschnitt „Code scanning“ das Symbol auswählen und dann auf Switch to advanced klicken. Klicken im daraufhin angezeigten Popupfenster auf CodeQL deaktivieren.

    Screenshot des Abschnitts „Code scanning“ der Einstellungen von „Code security and analysis“ Die Schaltfläche „Erweiterte Einrichtung“ ist mit einem orangefarbenen Umriss hervorgehoben.

  5. Bearbeite den Workflow, wenn du die Codeüberprüfung durch code scanning anpassen möchtest.

    In der Regel kannst du CodeQL-Analyseworkflow ohne Änderungen committen. Viele der Drittanbieterworkflows erfordern jedoch eine zusätzliche Konfiguration. Lies daher vor dem Committen die Kommentare im Workflow.

    Weitere Informationen findest du unter Anpassen des erweiterten Setups für das Codescanning und CodeQL-Codeüberprüfung für kompilierte Sprachen.

  6. Klicke auf Änderungen committen... , um das Formular für Commitänderungen anzuzeigen.

    Screenshot des Formulars zum Erstellen einer neuen Datei. Rechts neben dem Dateinamen befindet sich eine grüne Schaltfläche mit der Bezeichnung „Änderungen committen...“, die dunkelorange umrandet ist.

  7. Gib im Feld „Commitnachricht“ eine Commitnachricht ein.

  8. Wähle aus, ob du direkt in den Standardbranch committen möchtest, oder erstelle einen neuen Branch, und starte einen Pull Request.

  9. Klicke auf Neue Datei committen, um die Workflowdatei in den Standardbranch zu committen, oder klicke auf Neue Datei vorschlagen, um die Datei in einen neuen Branch zu committen.

  10. Wenn du einen neuen Branch erstellt hast, klicke auf Pull Request erstellen, und öffne einen Pull Request, um die Änderung in den Standardbranch zu mergen.

Im empfohlenen CodeQL-Analyseworkflow wird code scanning so konfiguriert, dass dein Code jedes Mal analysiert wird, wenn du entweder eine Änderung an den Standardbranch oder an geschützte Branches pushst oder einen Pull Request für den Standardbranch auslöst. Daraufhin wird code scanning gestartet.

Die on:pull_request- und on:push-Trigger für Codescans sind jeweils für unterschiedliche Zwecke nützlich. Informationen findest du unter Anpassen des erweiterten Setups für das Codescanning und Auslösen eines Workflows.

Informationen zur Massenaktivierung findest du unter Konfigurieren des erweiterten Setups für das Codescanning mit CodeQL im großen Stil.

Nächste Schritte

Nachdem Ihr Workflow mindestens einmal erfolgreich gelaufen ist, können Sie damit beginnen, code scanning Benachrichtigungen zu untersuchen und zu lösen. Weitere Informationen zu code scanning-Warnungen findest du unter Informationen zu Codeüberprüfungswarnungen und Bewerten von Warnungen der Codeüberprüfung für das Repository.

Wie sich code scanning-Ausführungen als Prüfungen auf Pull Requests verhalten, erfährst du unter Filtern von Codescanbenachrichtigungen in Pull-Anforderungen.

Ausführliche Informationen zu deiner code scanning-Konfiguration, einschließlich Zeitstempeln für jede Überprüfung und dem Prozentsatz der überprüften Dateien, findest du auf der Seite „Toolstatus“. Weitere Informationen finden Sie unter Informationen zur Toolstatusseite für die Codeüberprüfung.

Weiterführende Themen