Sobre como definir a configuração padrão em escala
Com a configuração padrão da code scanning, você pode proteger rapidamente o código dos repositórios em toda a sua organização.
Use a página de configurações da organização rotulada "Segurança e análise de código" para habilitar a code scanning em todos os repositórios da sua organização qualificados para a configuração padrão. Para obter mais informações, confira "Como definir a configuração padrão de todos os repositórios qualificados em uma organização".
Use também a visão geral de segurança para encontrar um conjunto de repositórios na sua organização e habilitar ou desabilitar a configuração padrão da para todos eles ao mesmo tempo. Para obter mais informações, confira "Como definir a configuração padrão de um subconjunto de repositórios em uma organização".
Você também pode criar diferentes definições de configuração padrão para repositórios individuais. Para obter mais informações sobre como definir a configuração padrão no repositório, confira "Como definir a configuração padrão da verificação de código".
No caso dos repositórios que não são qualificados para a configuração padrão, é possível definir a configuração avançada no repositório ou na organização usando um script. Para obter mais informações, confira "Como definir a configuração avançada da verificação de código com o CodeQL em escala".
Repositórios qualificados para a configuração padrão do CodeQL em escala
Um repositório precisa atender a todos os critérios a seguir para ser qualificado para a configuração padrão, caso contrário, você precisará usar a configuração avançada.
-
A configuração avançada do code scanning ainda não está habilitada.
-
GitHub Actions estão habilitadas.
-
GitHub Advanced Security estar habilitada.
Nota: definir a configuração padrão para todos os repositórios de uma organização usando a página de configurações da organização não substituirá as definições existentes da configuração padrão. Porém, definir a configuração padrão em um subconjunto de repositórios de uma organização usando a visão geral de segurança substituirá as definições existentes da configuração padrão nesses repositórios.
Sobre como adicionar linguagens a uma definição de configuração padrão existente
Se o código de um repositório for alterado para incluir , uma linguagem com suporte em CodeQL, o GitHub atualizará automaticamente a configuração da code scanning para incluir a nova linguagem. Em caso de falha na code scanning na nova configuração, o GitHub retomará automaticamente a configuração anterior para que o repositório não perca a cobertura da code scanning.
Como definir a configuração padrão para todos os repositórios qualificados em uma organização
Por meio da página "Segurança e análise de código" das configurações da sua organização, você pode habilitar a configuração padrão de todos os repositórios qualificados na sua organização. Para obter mais informações sobre a qualificação do repositório, confira "Repositórios qualificados para a configuração padrão do CodeQL em escala".
-
No canto superior direito do GitHub Enterprise Server, selecione sua foto do perfil e em Suas organizações.
-
Ao lado da organização, clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Clique em Habilitar tudo ao lado de "Code scanning".
-
Na seção "Conjuntos de consultas" da caixa de diálogo "Habilitar configuração padrão do code scanning" exibida, selecione o conjunto de consultas que sua definição de configuração padrão executará. Para obter mais informações, confira "Conjuntos de consultas CodeQL".
-
Para habilitar a definição de configuração padrão, clique em Habilitar para repositórios qualificados.
-
Opcionalmente, para recomendar o conjunto de consultas "Estendido" em toda a sua organização ao habilitar a configuração padrão, selecione "Recomendar o conjunto de consultas estendido para repositórios que habilitam a configuração padrão".
Observações:
- Se você desabilitar CodeQL code scanning em todos os repositórios, essa alteração não será refletida nas informações de cobertura mostradas na visão geral de segurança da organização. Vai parecer que os repositórios continuam com o code scanning habilitado na exibição "Cobertura de Segurança".
- A habilitação do code scanning para todos os repositórios qualificados em uma organização não substituirá as configurações existentes do code scanning. Para obter informações sobre como definir a configuração padrão com definições diferentes para repositórios específicos, consulte "Como definir a configuração padrão da verificação de código" e "Definindo a configuração padrão para um subconjunto de repositórios de uma organização."
Como definir a configuração padrão de um subconjunto de repositórios em uma organização
Por meio da visão geral de segurança da sua organização, você pode encontrar repositórios qualificados para a configuração padrão e habilitar a configuração padrão em cada um desses repositórios simultaneamente. Para obter mais informações sobre a qualificação do repositório, confira "Repositórios qualificados para a configuração padrão do CodeQL em escala".
Localizar repositórios qualificados para a configuração padrão
-
No sua instância do GitHub Enterprise Server, navegue até a página principal da organização.
-
No nome da organização, clique em Segurança do .
-
Na barra lateral, clique em Cobertura para ver a exibição "Cobertura de segurança".
-
Na barra de pesquisa, insira uma das seguintes consultas:
code-scanning-default-setup:eligible advanced-security:enabled
mostra quais repositórios podem ser adicionados à configuração padrão imediatamente.code-scanning-default-setup:eligible advanced-security:not-enabled
mostra quais repositórios têm linguagens adequadas para a configuração padrão, mas não têm a GitHub Advanced Security habilitada. Depois de habilitar a GitHub Advanced Security para esses repositórios, eles também poderão ser adicionados à configuração padrão.code-scanning-default-setup:not-eligible
mostra repositórios que não são elegíveis para habilitação da configuração padrão em escala por qualquer um dos seguintes motivos:- Os repositórios já têm definições existentes da configuração avançada.
- Os repositórios contêm apenas linguagens que não podem ser analisadas pela configuração padrão.
- Os repositórios não têm GitHub Advanced Security habilitada.
Selecione todos os repositórios exibidos ou um subconjunto deles e habilite ou desabilite a configuração padrão da code scanning para todos eles ao mesmo tempo. Para obter mais informações, confira a etapa 5 "Como definir a configuração padrão em escala para vários repositórios em uma organização".
Como definir a configuração padrão em escala para vários repositórios em uma organização
-
No sua instância do GitHub Enterprise Server, navegue até a página principal da organização.
-
No nome da organização, clique em Segurança do .
-
Na barra lateral, clique em Cobertura para ver a exibição "Cobertura de segurança".
-
Use a barra de pesquisa para restringir os repositórios visíveis na exibição "Cobertura de segurança" com base no nome ou no status de habilitação dos recursos de segurança. Por exemplo, para filtrar os repositórios qualificados para a configuração padrão e que atualmente não têm a configuração padrão habilitada, procure
code-scanning-default-setup:eligible
. -
Na lista de repositórios, selecione cada repositório para o qual deseja habilitar a code scanning.
- Para habilitar code scanning para os repositórios selecionados na página, marque a caixa de seleção ao lado de **NÚMERO Ativo **.
- Para habilitar code scanning para todos os repositórios que correspondem à pesquisa atual, marque a caixa de seleção ao lado de ANÚMERO Ativo e clique em Selecionar todos os repositórios NÚMERO.
-
Clique em Configurações de segurança ao lado de NÚMERO selecionado.
-
No painel lateral, na seção "Configuração Padrão do CodeQL", selecione Nenhuma alteração e clique em Habilitar.
-
Opcionalmente, para escolher um conjunto de consultas diferente do conjunto de consultas padrão da sua organização, selecione Conjunto de consultas: NOME DO CONJUNTO e clique no conjunto de consultas que sua configuração padrão deve usar. Para obter mais informações, confira "Conjuntos de consultas CodeQL".
-
Para confirmar a habilitação da code scanning para os repositórios selecionados, clique em Aplicar alterações NÚMERO. Como alternativa, para selecionar ou desmarcar mais repositórios para a habilitação do code scanning, clique em para fechar o painel sem aplicar as alterações.
Observação: a habilitação do code scanning em vários repositórios em uma organização usando a visão geral de segurança substituirá todas as configurações existentes do code scanning nos repositórios selecionados, incluindo seleções e fluxos de trabalho do conjunto de consultas anteriores para configurações avançadas.
Se você estiver impedido de habilitar a code scanning devido a uma política corporativa, ainda poderá ver o repositório afetado na exibição "Cobertura de Segurança" e acessar o painel lateral por meio do botão Configurações de segurança. No entanto, você verá uma mensagem no painel lateral indicando que não é possível habilitar a code scanning para os repositórios selecionados. Para obter mais informações sobre as políticas corporativas, confira "Como impor políticas para segurança e análise de código na empresa".