配置代码扫描的高级设置

Note

网站管理员必须启用 code scanning，然后你才能使用此功能。如果要使用 GitHub Actions 扫描代码，站点管理员还必须启用 GitHub Actions 并设置所需的基础结构。有关详细信息，请参阅“为设备配置代码扫描”。

关于 code scanning 的高级设置

需要自定义 code scanning 时，code scanning 的高级设置非常有用。通过创建和编辑工作流文件，可以定义如何生成已编译语言、选择要运行的查询、选择要扫描的语言、使用矩阵生成等。还可以访问用于控制工作流的所有选项，例如：更改扫描日程安排、定义工作流触发器、指定要使用的专业运行器。有关 GitHub Actions 工作流的详细信息，请参阅“关于工作流程”。

网站管理员也可以通过设置 GitHub Connect，使code scanning用户可以使用第三方操作。有关详细信息，请参阅“为设备配置代码扫描”。

如果使用多个配置运行代码扫描，则警报有时会有多个分析源。如果警报有多个分析源，你可在警报页上查看每个分析源的警报状态。有关详细信息，请参阅“关于代码扫描警报”。

Note

本文介绍了此版 GitHub Enterprise Server 的初始发行版中包含的 CodeQL 操作版本和相关 CodeQL CLI 捆绑包中可用的功能。如果企业使用较新版本的 CodeQL 操作，请参阅本文的 GitHub Enterprise Cloud 版本，了解有关最新功能的信息。有关使用最新版本的信息，请参阅“为设备配置代码扫描”。

如果不需要高度可自定义的 code scanning 配置，请考虑使用 code scanning 的默认设置。有关默认设置资格的详细信息，请参阅“配置代码扫描的默认设置”。

先决条件

如果存储库满足这些要求，则其符合使用高级设置的条件。

使用 CodeQL 支持的语言，或者你计划使用第三方工具生成代码扫描结果。
已启用 GitHub Actions。
GitHub Advanced Security 已启用。

如果运行 GitHub Enterprise Server 的服务器未连接到 Internet，则站点管理员可以通过在服务器上提供 CodeQL 分析捆绑包来启用 CodeQL code scanning。有关详细信息，请参阅“为设备配置代码扫描”。

使用 CodeQL 为 code scanning 配置高级设置

可以通过创建和编辑工作流文件来自定义 CodeQL 分析。选择高级设置会生成一个基础工作流文件，让你可以使用标准工作流语法以及指定用于进行 CodeQL 操作的选项来进行自定义。请参阅“关于工作流程”和“自定义代码扫描的高级设置”。

在 GitHub 上，导航到存储库的主页面。
在存储库名称下，单击 “设置”。如果看不到“设置”选项卡，请选择“”下拉菜单，然后单击“设置”。
在边栏的“Security”部分中，单击“ Code security and analysis”****。
向下滚动到“Code scanning”部分，选择“设置”，然后单击“高级” 。

Note

如果要从默认设置切换到高级设置，请在“Code scanning”部分中，选择“”，然后单击 “切换到高级”****。在出现的弹出窗口中，单击“禁用 CodeQL”。
要自定义 code scanning 扫描代码的方式，请编辑工作流程。

通常，可以提交 CodeQL 分析工作流程而无需对其进行任何更改。但是，许多第三方工作流需要额外的配置，因此请在提交之前读取工作流中的注释。

有关详细信息，请参阅自定义代码扫描的高级设置和对编译语言进行 CodeQL 代码扫描。
单击“提交更改…”以显示提交更改窗体。
在“提交消息”字段中，键入提交消息。
选择是直接提交到默认分支，还是创建新分支并启动拉取请求。
单击“提交新文件”将工作流文件提交到默认分支或单击“建议新文件”将文件提交到新分支。
如果创建了新分支，请单击“创建拉取请求”并打开拉取请求，将更改合并到默认分支。