关于 code scanning
Code scanning 是一项功能,可用于分析 GitHub 仓库中的代码,以查找安全漏洞和编码错误。 分析标识的任何问题都显示在存储库中。
您可以配置 code scanning 以运行 CodeQL 分析和第三方分析。 Code scanning 还支持使用 GitHub Actions 在本机运行分析,或使用现有 CI/CD 基础结构在外部运行分析。 下面的要点总结了在配置 你的 GitHub Enterprise Server 实例 以允许使用操作进行 code scanning 时用户可用的选项。
- CodeQL:将 GitHub Actions 与任一默认设置配合使用(请参阅“配置代码扫描的默认设置”)或与高级设置配合使用(请参阅“配置代码扫描的高级设置”),或在第三方持续集成 (CI) 系统中运行 CodeQL 分析(请参阅“在现有 CI 系统上使用代码扫描”)。
- Third‑party:使用 GitHub Actions 或第三方工具并将结果上传至 GitHub Enterprise Server(请参阅“将 SARIF 文件上传到 GitHub”)。
检查您的许可是否包含 GitHub Advanced Security
可通过查看企业设置来识别企业是否具有 GitHub Advanced Security 许可证。 有关详细信息,请参阅“为企业启用 GitHub 高级安全性”。
code scanning 的前提条件
-
GitHub Advanced Security 的许可证(请参阅“关于 GitHub 高级安全的计费”)
-
在管理控制台中启用的 Code scanning(请参阅“为企业启用 GitHub 高级安全性”)
-
用于运行 code scanning 分析的 VM 或容器。
使用 GitHub Actions 运行 code scanning
预配自托管式运行器
GitHub Enterprise Server 可以使用一个 GitHub Actions 工作流运行 code scanning。 首先,您需要在环境中预配一个或多个自托管的 GitHub Actions 运行器。 您可以在仓库、组织或企业帐户级别预配自托管运行器。 请参阅“关于自托管运行程序”和“添加自托管的运行器”。
如果正在为 CodeQL 分析预配一个自托管式运行器,此运行器必须使用 CodeQL 支持的操作系统版本和 CPU 架构。 请参阅 CodeQL 系统要求。
如果对 code scanning 使用默认设置,则可以为自托管运行程序分配 code-scanning
标签。请参阅“配置代码扫描的默认设置”。
有关如何使用默认设置对已编译的语言进行代码扫描分析的详细信息,请参阅“对编译语言进行 CodeQL 代码扫描”。
您必须确保 Git 在用于运行 CodeQL 操作的任何自托管运行器上的 PATH 变量中。
Note
如果在企业中使用 CodeQL code scanning 分析用 Python 编写的代码,则必须确保自托管运行器已安装 Python 3。
预配运行器规模集
可以使用 Actions Runner Controller 为GitHub Enterprise Server 实例创建专用运行器规模集。 请参阅“使用 Actions Runner Controller 部署运行器规模集”。
预配 code scanning 的操作
如果想使用操作在 GitHub Enterprise Server 上运行 code scanning,则这些操作必须在设备上可用。
CodeQL 操作包含在您安装的 GitHub Enterprise Server 中。 如果 GitHub Enterprise Server 3.12 和 GitHub Actions 运行器均可访问 Internet,则操作将自动下载执行分析所需的 CodeQL 2.15.5 捆绑包。 或者,你也可以使用同步工具使最新发布版本的 CodeQL 分析包在本地可用。 请参阅下面的“在没有互联网接入的服务器上配置 CodeQL 分析”。
您也可以通过设置 GitHub Connect,使第三方操作可供 code scanning 的用户使用。 请参阅下面的“为设备配置代码扫描”。
在没有互联网接入的服务器上配置 CodeQL 分析
如果您在上面运行 GitHub Enterprise Server 的服务器未连接到互联网,但您要允许用户对其仓库启用 CodeQL code scanning,则您必须使用 CodeQL 操作同步工具将 CodeQL 分析包从 GitHub.com 复制到您的服务器。 该工具及其用法的详细信息在 https://github.com/github/codeql-action-sync-tool 提供。
如果配置 CodeQL 操作同步工具,可以使用它来同步最新发布的 CodeQL 操作和相关的 CodeQL 分析包。 这些兼容 GitHub Enterprise Server。
配置 GitHub Connect 以同步 GitHub Actions
- 如果要从 GitHub.com 下载按需操作工作流程,则需要启用 GitHub Connect。 请参阅“在 GitHub.com 上启用 GitHub Connect”。
- 还需要启用 GitHub Actions。 请参阅“GitHub Actions for GitHub Enterprise Server 使用入门”。
- 下一步是使用 GitHub Connect 配置对 GitHub.com 上的操作的访问权限。 请参阅“使用 GitHub Connect 启用对 GitHub.com 操作的自动访问”。
- 将自托管运行器添加到仓库、组织或企业帐户。 请参阅“添加自托管的运行器”。
使用 CodeQL CLI 运行代码扫描
如果不想使用 GitHub Actions,应该使用 CodeQL CLI 运行 code scanning。
CodeQL CLI 是一个命令行工具,可用于分析任何计算机上的代码库,包括第三方 CI/CD 系统。 请参阅“在现有 CI 系统上使用代码扫描”。