Bearbeiten der Konfiguration des Standardsetups

Du kannst die vorhandene Konfiguration des Standardsetups für code scanning so bearbeiten, dass sie deinen Anforderungen besser gerecht wird.

Wer kann dieses Feature verwenden?

Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Organisationsmitglieder mit der Administratorrolle

In diesem Artikel

Nachdem Sie eine anfängliche Analyse des Codes mit Standardsetup ausgeführt haben, können Sie Änderungen an Ihrer Konfiguration vornehmen, um Ihre Anforderungen besser zu erfüllen. Weitere Informationen zu Setuptypen und Anpassungsoptionen finden Sie unter Informationen zu Konfigurationstypen für die Code-Analyse.

Wenn du andere Aspekte der code scanning-Konfiguration ändern musst, solltest du die Konfiguration des erweiterten Setups in Betracht ziehen. Weitere Informationen finden Sie unter Konfigurieren des erweiterten Setups für das Code-Scanning.

Anpassen der vorhandenen Konfiguration des Standardsetups

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Code security.

  4. Wähle in der Zeile „CodeQL analysis“ im Abschnitt „Code scanning“ die Option aus, und klicke dann auf View CodeQL configuration.

  5. Klicke im Fenster „CodeQL-Standardkonfiguration“ auf Edit.

  6. Optional kannst du im Abschnitt „Sprachen“ die Sprachen für die Analyse auswählen oder deaktivieren.

  7. Wähle optional in der Zeile „Query suite“ (Abfragesuite) des Abschnitts „Scan settings“ eine andere Abfragesuite aus, die für deinen Code ausgeführt werden soll.

  8. Wenn du Runner mit Bezeichnungen verwenden möchtest, wähle im Abschnitt „Runner type“ des modalen Dialogfelds „CodeQL default configuration“ die Option Standard GitHub runner aus, um ein Dropdownmenü zu öffnen, und wähle anschließend Labeled runner aus. Gib dann neben „Runner label“ die Bezeichnung eines vorhandenen selbst gehosteten Runners oder eines von GitHub gehosteten Runners ein. Weitere Informationen finden Sie unter Konfigurieren des Standardsetups für das Code-Scanning.

  9. (Öffentliche Vorschau) Wählen Sie optional in der „Gefahrenmodell“-Zeile im Abschnitt „Scaneinstellungen“ Remote- und lokale Quellen aus. Diese Option ist nur für Repositorys mit Code in einer unterstützten Sprache verfügbar: Java/Kotlin und C#.

  10. Klicke auf Änderungen speichern, um die Konfiguration zu aktualisieren und eine erste Analyse des Codes mit der neuen Konfiguration auszuführen. Alle zukünftigen Analysen verwenden die neue Konfiguration.

Definieren der Warnungsschweregrade, die einen Überprüfungsfehler für eine Pullanforderung verursachen

Sie können Regelsätze verwenden, um zu verhindern, dass Pullanforderungen zusammengeführt werden, wenn eine der folgenden Bedingungen erfüllt ist:

  • Ein erforderliches Tool hat eine code scanning-Warnung eines Schweregrads gefunden, der in einem Regelsatz definiert ist.
  • Eine erforderliche % data variables.product.prodname_code_scanning %}-Toolanalyse wird noch ausgeführt.
  • Für das Repository ist kein erforderliches code scanning-Tool konfiguriert.

Weitere Informationen finden Sie unter Festlegen des Zusammenführungsschutzes für Codeüberprüfung. Weitere allgemeine Informationen zu Regelsätzen findest du unter Informationen zu Regelsätzen.

Einschließen lokaler Quellen von Daten m Standard-Set-up

Hinweis

Gefahrenmodelle befinden sich derzeit in der öffentliche Vorschau. Änderungen sind vorbehalten. Während der öffentliche Vorschau werden Gefahrenmodelle nur durch die Analyse für Java/Kotlin und C# unterstützt.

Wenn in Ihrer Codebasis nur Remote-Netzwerkanfragen als potenzielle Quellen für verdächtige Daten in Frage kommen, empfehlen wir die Verwendung des Standard-Bedrohungsmodells. Wenn Ihre Codebasis andere Quellen als Netzwerkanfragen als potenziell verdächtige Daten ansieht, können Sie Gefahrenmodelle verwenden, um diese zusätzlichen Quellen zu Ihrer CodeQL-Analyse hinzuzufügen. Während der Laufzeit der öffentliche Vorschau können Sie lokale Quellen hinzufügen (z. B. Befehlszeilenargumente, Umgebungsvariablen, Dateisysteme und Datenbanken), die von Ihrer Codebasis als zusätzliche Quellen für verdächtige Daten verwendet werden können.

Sie können das in einer Standardkonfiguration verwendete Gefahrenmodell bearbeiten. Weitere Informationen findest du unter Anpassen der vorhandenen Konfiguration des Standardsetups.

Erweitern der CodeQL Abdeckung mit CodeQL-Modellpaketen im Standardsetup

Hinweis

CodeQL-Modellpakete liegen derzeit als öffentliche Vorschau vor und können noch geändert werden. Modellpakete werden für die C/C++, C#, Java/Kotlin, Python, und Ruby-Analyse unterstützt.

Der CodeQL-Modell-Editor in der CodeQL-Erweiterung für Visual Studio Code unterstützt Modellierungsabhängigkeiten für C#, Java/Kotlin, Python und Ruby.

Wenn Sie Frameworks und Bibliotheken verwenden, die nicht von den Standardbibliotheken erkannt werden, die in CodeQL enthalten sind, können Sie Ihre Abhängigkeiten modellieren und die code scanning-Analyse erweitern. Weitere Informationen finden Sie unter Unterstützten Sprachen und Frameworks in der Dokumentation zu CodeQL.

Für das Standardsetup müssen Sie die Modelle Ihrer zusätzlichen Abhängigkeiten in CodeQL-Modellpaketen definieren. Sie können die Abdeckung im Standardsetup mit CodeQL-Modellpaketen für einzelne Repositorys oder in großem Stil für alle Repositorys in einer Organisation erweitern.

Weitere Informationen zu CodeQL-Modellpaketen und zum Schreiben eigener Pakete finden Sie unter Verwenden des CodeQL-Modell-Editors.

Erweitern der Abdeckung für ein Repository

  1. Kopieren Sie im .github/codeql/extensions-Verzeichnis des Repositorys das Modellpaketverzeichnis, das eine codeql-pack.yml-Datei und alle .yml-Dateien enthalten soll, die zusätzliche Modelle für die Bibliotheken oder Frameworks enthalten, die Sie in Ihre Analyse einbeziehen möchten.
  2. Die Modellpakete werden automatisch erkannt und in Ihrer code scanning-Analyse verwendet.
  3. Wenn Sie später Ihre Konfiguration ändern, um das erweiterte Setup zu verwenden, werden alle Modellpakete in dem .github/codeql/extensions-Verzeichnis weiterhin erkannt und verwendet.

Erweitern der Abdeckung für alle Repositorys in einer Organisation

Hinweis

Wenn Sie die Abdeckung mit CodeQL-Modellpaketen für alle Repositorys in einer Organisation erweitern, müssen die von Ihnen angegebenen Modellpakete zu der Containerregistrierung veröffentlicht werden, die der GitHub Enterprise Server-Instanz zugeordnet ist (https://containers.HOSTNAME) und für die Repositorys zugänglich ist, die code scanning ausführen. Weitere Informationen finden Sie unter Arbeiten mit der Containerregistrierung.

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

  2. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Code security und anschließend auf Global settings.

  4. Lokalisieren Sie den Abschnitt „Code scanning“.

  5. Klicke neben „Expand CodeQL analysis“ auf Configure.

  6. Geben Sie Verweise auf die veröffentlichten Modellpakete ein, die Sie verwenden möchten, eine pro Zeile, und klicken Sie dann auf Speichern.

    Screenshot der Ansicht „CodeQL-Analyse erweitern“ in den Einstellungen für eine Organisation.

  7. Die Modellpakete werden automatisch erkannt und verwendet, wenn code scanning für jedes Repository in der Organisation ausgeführt werden, wobei das Standardsetup aktiviert ist.