Skip to main content

CodeQL で大規模にコード スキャンの高度なセットアップを構成する

スクリプトを使用して、組織内の特定のリポジトリ グループのcode scanningの詳細設定を構成できます。

この機能を使用できるユーザーについて

管理者 ロールを持つ組織の所有者、セキュリティ マネージャー、および組織メンバー

GitHub Advanced Security が有効になっている組織所有のリポジトリ

CodeQL による code scanning の大規模で高度なセットアップの有効化について

Organization 内の多くのリポジトリに対して高度にカスタマイズ可能な code scanning セットアップを構成する必要がある場合、または organization 内のリポジトリが既存のセットアップに適していない場合は、高度なセットアップで大規模に code scanning を有効化できます。

複数のリポジトリ間で高度なセットアップを有効化するには、一括構成スクリプトを記述できます。 スクリプトを正常に実行するには、GitHub Actionsはサイトに対して有効にする必要があります。       

または、organization の多くのリポジトリに対して code scanning 構成をきめ細かく制御する必要がない場合は、code scanning を迅速かつ簡単に、既存のセットアップで大規模に構成できます。 詳しくは、「大規模なコード スキャンの既定のセットアップを構成する」を参照してください。

スクリプトを使用して高度なセットアップを有効にする

既存のセットアップの対象ではないリポジトリの場合は、一括構成スクリプトを使用して、複数のリポジトリ間で高度なセットアップを有効化できます。

  1. 同じcode scanning構成を使用して分析できるリポジトリのグループを特定します。 たとえば、運用環境を使用して Java 成果物をビルドするすべてのリポジトリです。
  2. GitHub Actions ワークフローを作成してテストし、適切な構成で CodeQL アクションを呼び出します。 詳しくは、「コード スキャンの高度なセットアップの構成」を参照してください。
  3. スクリプトの例の 1 つを使用するか、またはカスタム スクリプトを作成して、グループ内の各リポジトリにワークフローを追加します。

モデル パックを使用した CodeQL カバレッジの拡張

注: CodeQL モデル パックと CodeQL モデル エディターは現在 ベータ であり、変更される可能性があります。 モデル パックは C#、Java/Kotlin、および Ruby 分析でサポートされます。

コードベースが CodeQL の標準クエリで認識されないライブラリまたはフレームワークに依存している場合は、発行された CodeQL モデル パックを指定すると、一括構成スクリプトの CodeQL カバレッジを拡張できます。 詳しくは、「コード スキャン用の高度なセットアップのカスタマイズ」を参照してください。

または、組織の多くのリポジトリに対して code scanning 構成をきめ細かく制御する必要がない場合は、既定の設定で大規模に code scanning で迅速かつ簡単にモデル パックを構成できます。 詳しくは、「既定のセットアップの構成を編集する」を参照してください。