Skip to main content

评估代码扫描的默认设置

了解如何评估代码扫描的效果,以及如何自定义设置,以最好地满足代码安全需求。

谁可以使用此功能?

具有管理员角色的存储库所有者、组织所有者、安全管理员和用户

首次使用 code scanning 时,可能会使用默认设置。 本指南介绍了如何评估 code scanning 默认设置的效果,以及如果某些内容不符合预期,需要执行哪些步骤。 本指南还介绍了在发现新配置不适合特定用例时,如何自定义 code scanning。

自定义 code scanning

首次配置默认设置时,或在对代码进行初始分析后,可以编辑默认设置将分析的语言以及在分析过程中运行的查询套件。 查询 default 套件包含一组经过精心设计以查找最相关的安全问题的查询,同时最大限度地减少误报结果。 但是,可以使用 security-extended 套件运行其他查询,但精度略低。 有关可用查询套件的详细信息,请参阅“CodeQL 查询套件”。

有关自定义默认设置的详细信息,请参阅“编辑默认设置配置”。

使用高级设置

如果发现仍需要对 code scanning 进行更精细的控制,则可以使用高级设置。 高级设置需要在配置、自定义和维护上投入更多工作量,因此我们建议首先启用默认设置。 有关高级设置的详细信息,请参阅“配置代码扫描的高级设置”和“自定义代码扫描的高级设置”。

使用 工具状态页 评估 code scanning

工具状态页 显示有关所有 code scanning 工具的有用信息。 可以使用它调查各个工具是否适用于存储库中、存储库中的文件首次扫描和最近扫描的时间以及计划即将进行的扫描的时间。 对于调试问题,从这个页面开始会很有帮助。

使用 工具状态页,可以 CSV 格式下载 code scanning 正在检查的规则列表。 对于 CodeQL 等集成工具,还可以查看更详细的信息,包括已扫描文件的百分比和特定的错误消息。

如果发现默认设置未扫描所有文件,则可能需要自定义 code scanning。 有关详细信息,请参阅本文中的“自定义代码扫描”。 或者,如果其他内容不符合预期,你可能会发现我们的专用故障排除文档非常有用。 有关详细信息,请参阅“代码扫描疑难解答”。

有关 工具状态页 的详细信息,请参阅“关于代码扫描的工具状态页”。