Wenn du mit der ersten Verwendung von code scanning beginnst, verwendest du wahrscheinlich das Standardsetup. In diesem Handbuch wird beschrieben, wie ausgewertet werden kann, wie das Standardsetup für code scanning für dich funktioniert und welche Schritte ausgeführt werden sollten, wenn etwas nicht wie erwartet funktioniert. In diesem Handbuch wird auch beschrieben, wie du code scanning anpassen kannst, wenn du feststellt, dass du einen bestimmten Anwendungsfall hast, der für deine neue Konfiguration nicht geeignet ist.
Anpassen von code scanning
Wenn du das Standardsetup oder zum ersten Mal konfigurierst, oder nach einer ersten Analyse des Codes kannst du die während der Analyse ausgeführte Abfragesuite. Die default
Abfragesuite enthält eine Reihe von Abfragen, die sorgfältig darauf ausgelegt sind, nach den relevantesten Sicherheitsproblemen zu suchen, während falsch positive Ergebnisse minimiert werden. Du kannst jedoch die security-extended
Suite verwenden, um zusätzliche Abfragen auszuführen, die eine etwas niedrigere Genauigkeit aufweisen. Weitere Informationen zu den verfügbaren Abfragesammlungen findest du unter CodeQL-Abfragesammlungen.
Weitere Informationen zur Anpassung des Standardsetups findest du unter Bearbeiten der Konfiguration des Standardsetups.
Verwenden des erweiterten Setups
Wenn du festgestellt hast, dass du noch genauere Kontrolle über code scanning benötigst, kannst du die erweiterte Einrichtung verwenden. Die erweiterte Einrichtung erfordert einen deutlich höheren Aufwand für die Konfiguration, Anpassung und Wartung, weshalb wir empfehlen, zunächst die Standardeinrichtung zu aktivieren. Weitere Informationen zum erweiterten Setup findest du unter Konfigurieren des erweiterten Setups für das Codescanning und Anpassen des erweiterten Setups für das Codescanning.
Auswerten von code scanning mit der Seite mit dem Toolstatus
Die Seite mit dem Toolstatus enthält nützliche Informationen zu allen deinen Tools für die code scanning. Du kannst es verwenden, um zu untersuchen, ob einzelne Tools für ein Repository arbeiten, wann Dateien im Repository zuerst gescannt und zuletzt gescannt wurden und wann anstehende Scans geplant sind. Es ist auch ein nützlicher Ausgangspunkt für das Debuggen von Problemen.
Mit Hilfe der Seite mit dem Toolstatus kannst du die Liste mit den Regeln, die von der code scanning verwendet werden, im CSV-Format herunterladen. Für integrierte Tools wie CodeQL werden auch ausführlichere Informationen wie der Prozentsatz der überprüften Dateien und spezifische Fehlermeldungen angezeigt.
Wenn du feststellst, dass das Standardsetup nicht alle deine Dateien überprüft, musst du möglicherweise code scanning anpassen. Weitere Informationen findest du unter Benutzerdefinierte Anbieter in diesem Artikel. Alternativ kannst du unsere dedizierte Dokumentation zur Problembehandlung hilfreich finden, wenn etwas anderes nicht wie erwartet funktioniert. Weitere Informationen findest du unter Problembehandlung bei der Codeüberprüfung.
Weitere Informationen zu Seite mit dem Toolstatus findest du unter „Informationen zur Toolstatusseite für die Codeüberprüfung“.