Skip to main content

此版本的 GitHub Enterprise Server 已于以下日期停止服务 2024-07-09. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

CodeQL 查询套件

可以从不同的内置 CodeQL 查询套件中进行选择,以在 CodeQL code scanning设置中使用。

谁可以使用此功能?

Code scanning 可用于 GitHub Enterprise Server 中的组织拥有的存储库。 此功能需要 GitHub Advanced Security 的许可证。 有关详细信息,请参阅“关于 GitHub 高级安全性”。

关于 CodeQL 查询套件

通过 CodeQL code scanning,可以选择一组特定的 CodeQL 查询(称为 CodeQL 查询套件)以针对代码运行。 以下内置查询套件可通过 GitHub 获取:

  • default 查询套件。
  • security-extended 查询套件。 此套件在 GitHub 上被称为“扩展”查询套件。

目前,default 查询套件和 security-extended 查询套件均可用于 code scanning 的默认设置。 有关默认设置的详细信息,请参阅“配置代码扫描的默认设置”和“配置大规模代码扫描的默认设置”。

要使用自定义查询套件,必须为 CodeQL code scanning 配置高级设置。 有关高级设置和创建查询套件的详细信息,请参阅“配置代码扫描的高级设置”和“创建 CodeQL 查询套件”。

内置 CodeQL 查询套件

内置 CodeQL 查询套件 defaultsecurity-extended 由 GitHub 创建和维护。 这两个查询套件都适用于 CodeQL 支持的每种语言。 有关 CodeQL 支持的语言的详细信息,请参阅“关于使用 CodeQL 进行代码扫描”。

default 查询套件

  • default 查询套件是在 GitHub 上的 CodeQL code scanning中默认运行的一组查询。
  • default 查询套件中的查询精确度非常高,很少返回误报的code scanning结果。 相对于 security-extended 查询套件,default 套件返回的低置信度code scanning结果更少。
  • 此查询套件可与 code scanning 的默认设置配合使用。

security-extended 查询套件

  • security-extended 查询套件包含 default 查询套件中的所有查询以及精确度和严重程度稍低的其他查询。
  • 相对于 default 查询套件,security-extended 套件可能会返回更多误报的code scanning结果。
  • 此查询套件可用于 code scanning 的默认设置,且在 GitHub 上被称为“扩展”查询套件。

默认查询套件的查询列表

下文列出每种语言 defaultsecurity-extended 套件中包含的查询。

延伸阅读