Konfigurieren des Standardsetups für das Code-Scanning

Richten Sie code scanning schnell ein, um zu finden und anfälligen Code automatisch zu beheben.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

Code scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys auf GitHub.com
  • Organisationseigene Repositorys für GitHub Team, GitHub Enterprise Cloud oder GitHub Enterprise Server, wobei GitHub Code Security aktiviert sind.

In diesem Artikel

Es wird empfohlen, mit der Verwendung code scanning des Standardsetups zu beginnen. Nachdem Sie das Standardsetup anfänglich konfiguriert haben, können Sie code scanning bewerten, um zu sehen, wie es für Sie funktioniert, und es an Ihre Anforderungen anpassen. Weitere Informationen findest du unter Informationen zu Konfigurationstypen für die Code-Analyse.

Voraussetzungen

Ihr Repository ist qualifiziert für das Standardsetup, wenn code scanning :

  • GitHub Actions ist aktiviert.
  • Es ist öffentlich sichtbar, oder GitHub Code Security ist aktiviert.

Konfigurieren des Standardsetups für ein Repository

Hinweis

Wenn die Analysen für alle CodeQL-unterstützten Sprachen in einem Repository fehlschlagen, bleibt das Standardsetup zwar aktiviert, es werden jedoch keine Scans durchgeführt oder GitHub Actions-Minuten verwendet, bis entweder eine weitere CodeQL-unterstützte Sprache zum Repository hinzugefügt wird oder das Standardsetup manuell neu konfiguriert wird und die Analyse einer CodeQL-unterstützten Sprache erfolgreich ist.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

    Hinweis

    Wenn Sie die Standardeinrichtung für eine Verzweigung konfigurieren, müssen Sie zuerst GitHub Actions aktivieren. Um GitHub Actions zu aktivieren, klicken Sie unter Ihrem Repositorynamen auf Aktionen, und klicken Sie dann auf "Ich verstehe meine Workflows, aktivieren Sie sie". Beachten Sie, dass dadurch alle vorhandenen Workflows in Ihrer Verzweigung aktiviert werden.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Wähle unter „Code Security“ rechts von „CodeQL analysis“ die Option Set up aus, und klicke dann auf Default.

    Screenshot: Abschnitt „Code scanning“ der Advanced Security-Einstellungen Die Schaltfläche „Standardeinrichtung“ ist mit einem orangefarbenen Umriss hervorgehoben.

    Anschließend wird ein Dialogfeld "CodeQL Standardkonfiguration" angezeigt, in dem die code scanning automatisch erstellte Konfiguration standardmäßig zusammengefasst wird.

  5. Wenn Sie Das code scanning Setup anpassen möchten, klicken Sie optional auf "Bearbeiten".

    • Um der vom Standardsetup durchgeführten Analyse eine Sprache hinzuzufügen oder daraus zu entfernen, aktiviere oder deaktiviere diese Sprache im Abschnitt „Sprachen“.
    • Um die CodeQL abfragesuite anzugeben, die Sie verwenden möchten, wählen Sie Ihre bevorzugte Abfragesuite im Abschnitt "Abfragesuiten" aus.

  6. Überprüfen Sie die Einstellungen für die Standardkonfiguration in Ihrem Repository, und klicken Sie dann auf Aktivieren CodeQL. Dadurch wird ein Workflow ausgelöst, der die neue, automatisch generierte Konfiguration testet.

    Hinweis

    Wenn Sie vom erweiterten Setup zu Standardsetup wechseln, wird eine Warnung angezeigt, in der Sie darüber informiert werden, dass die Standardeinrichtung vorhandene code scanning Konfigurationen außer Kraft setzen wird. Diese Warnung bedeutet, dass das Standardsetup die vorhandene Workflowdatei deaktiviert und alle CodeQL Analyse-API-Uploads blockiert.

  7. Wenn Projekte in Ihrem Repository von Abhängigkeiten in privaten Paketregistern abhängen, können Sie ihnen Zugriff gewähren code scanning. Dies kann die Ergebnisse und qualität der Analysen verbessern. Siehe Gewähren des Zugriffs auf private Registrierungen für Sicherheitsfeatures.

  8. Passen Sie optional weitere Konfigurationsoptionen an, die sich auf die Standardeinrichtung auswirken. Siehe Repository-Eigenschaften für code scanning.

  9. Wenn Sie die Standardeinrichtungskonfiguration nach der Aktivierung anzeigen möchten, wählen Sie die Option aus, und klicken Sie dann auf "Konfiguration anzeigenCodeQL".

Hinweis

Wenn in einem Repository keine Push- und Pullanforderungen aufgetreten sind, deren Standardsetup 6 Monate lang aktiviert ist, wird der wöchentliche Zeitplan deaktiviert, um Ihre GitHub Actions Minuten zu speichern.

Ausführen des Standardsetups auf selbst gehosteter oder größere Runner

Sie können das Standardsetup für alle von CodeQL unterstützten Sprachen auf selbst gehosteten Runnern oder von GitHub gehosteten Runnern verwenden.

Hinweis

Code scanning sieht zugewiesene Läufer, wenn die Standardeinrichtung aktiviert ist. Wenn ein Runner einem Repository zugewiesen ist, das bereits das Standardsetup ausführt, müssen Sie das Standardsetup deaktivieren und erneut aktivieren, um mit der Verwendung des Runners zu beginnen. Wenn Sie einen Runner hinzufügen und mit der Verwendung beginnen möchten, können Sie die Konfiguration manuell ändern, ohne das Standardsetup deaktivieren und erneut aktivieren zu müssen.

Kennzeichnungen für selbst gehostete Runner zuweisen

Um einen selbst gehosteten Runner für die Standardeinrichtung zuzuweisen, können Sie das Standard-Label verwenden code-scanning oder optional benutzerdefinierte Labels zuweisen, damit einzelne Repositorys unterschiedliche Runner verwenden können. Informationen zum Zuweisen von Labels zu selbst gehosteten Runnern finden Sie unter Verwenden von Bezeichnungen mit selbstgehosteten Runnern.

Nachdem Sie selbstgehosteten Runnern benutzerdefinierte Labels zugewiesen haben, können Ihre Repositorys diese Runner für code scanning die Standardeinrichtung verwenden.

Sie können auch security configurations verwenden, um selbstgehosteten Runnern code scanning Labels zuzuweisen. Siehe Erstellen einer benutzerdefinierten Sicherheitskonfiguration.

Zuweisen größere Runner

Um einen größerer Runner zuzuweisen, geben Sie dem Läufer den Namen code-scanning. Dadurch wird die code-scanning-Beschriftung automatisch zur größerer Runner hinzugefügt. Eine Organisation kann nur einen größerer Runner mit dem code-scanning Label haben, und dieser Runner verarbeitet alle code scanning Jobs von Repositorys innerhalb Ihrer Organisation, die Zugriff auf die Runner-Gruppe haben. Siehe Konfigurieren größerer Runner für die Standardeinrichtung.

Sicherstellung der Build-Unterstützung

Das Standardsetup verwendet den none Buildmodus für C/C++, C#, Java und Rust und verwendet den autobuild Buildmodus für andere kompilierte Sprachen. Sie sollten Ihre selbst gehosteten Runner so konfigurieren, dass sie alle notwendigen Befehle für die C/C++-, C#- und Swift-Analyse ausführen können. Die Analyse von Javascript/TypeScript, Go, Ruby, Python und Kotlin erfordert derzeit keine spezielle Konfiguration.

Nächste Schritte

Nachdem Ihre Konfiguration mindestens einmal erfolgreich ausgeführt wurde, können Sie mit der Untersuchung und Behebung von code scanning Warnungen beginnen. Weitere Informationen zu code scanning Warnungen finden Sie unter Informationen zu Codeüberprüfungswarnungen und Bewertung von Code-Scanning-Warnungen für Ihr Repository.

Nachdem Sie das Standardsetup für code scanning konfiguriert haben, können Sie sehen, wie es funktioniert und welche nächsten Schritte Sie unternehmen können, um es anzupassen. Weitere Informationen findest du unter Auswerten des Standardsetups für die Codeüberprüfung.

Detaillierte Informationen zu Ihrer code scanning Konfiguration, einschließlich Zeitstempel für jede Überprüfung und den Prozentsatz der gescannten Dateien, finden Sie auf der Toolstatusseite. Weitere Informationen findest du unter Verwenden der Toolstatusseite zum Scannen von Code.

Beim Konfigurieren des Standardsetups tritt möglicherweise ein Fehler auf. Weitere Informationen zum Behandeln bestimmter Fehlern finden Sie unter Behebung von Fehlern bei der Code-Scan-Analyse.