既定設定の構成を編集する

          code scanningの既定のセットアップの既存の構成を編集して、ニーズをより適切に満たすことができます。

この機能を使用できるユーザーについて

管理者 ロールを持つ組織の所有者、セキュリティ マネージャー、および組織メンバー

この記事で

既定のセットアップでコードの初期分析を実行した後、ニーズに合わせて構成を変更できます。 コード スキャンのセットアップの種類について を参照してください。

既定設定の既存構成をカスタマイズする

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. [CodeQL] セクションの [Code Security分析] 行で、を選択し、[構成の表示] CodeQL クリックします。

  5. [既定の構成CodeQL] ウィンドウで、[編集 クリックします。

  6. 必要に応じて、[言語] セクションで、分析用の言語を選択または選択解除します。

  7. 必要に応じて、[設定をスキャン] セクションの [クエリ スイート] 行で、コードに対して実行する別のクエリ スイートを選択します。

  8. 必要に応じて、ラベル付きランナーを使用するには、[CodeQL 既定の構成] モーダル ダイアログの [ランナーの種類] セクションで [ 標準 GitHub ランナー を選択してドロップダウン メニューを開き、[ ラベル付きランナー] を選択します。 次に、[ランナー ラベル] の横に、既存のセルフホステッド ランナーまたは GitHub ホステッド ランナーのラベルを入力します。 詳細については、「コード スキャンの既定セットアップの構成」を参照してください。

  9. (パブリック プレビュー) 必要に応じて、[スキャン設定] セクションの [脅威モデル] 行で、 リモートソースとローカルソースを選択します。 このオプションは、サポートされている言語 ( Java/Kotlin と C#) のコードを含むリポジトリでのみ使用できます。

  10. 構成を更新し、新しい構成でコードの初期分析を実行するために、[変更を保存] をクリックします。 今後のすべての分析では、新しい構成が使用されます。

pull request チェック エラーの原因となるアラートの重大度を定義する

ルールセットを使用すると、次のいずれかの条件が満たされたときにプル要求がマージされないようにできます。

  • 必要なツールは、ルール セットで定義されている重大度の code scanning アラートを検索します。
  • 必要なツールの分析はまだ進行中です。
  • リポジトリに必要なツールが構成されていません。

詳細については、「コード スキャンのマージ保護を設定します」を参照してください。 ルールセットの一般情報については、「AUTOTITLE」を参照してください。

既定設定に汚染されたデータのローカル ソースを含める

メモ

脅威モデルは現在 パブリック プレビュー 段階であり、変更される可能性があります。 パブリック プレビュー 期間中、脅威モデルは Java/Kotlin と C# 解析でのみサポートされます。

コードベースが、リモートネットワークリクエストのみを汚染データの潜在的なソースと見なす場合、デフォルトの脅威モデルを使用することをお勧めします。 コードベースで、ネットワーク要求以外のソースにテイントされたデータが含まれている可能性があると見なされる場合は、脅威モデルを使用して、これらの追加のソースを CodeQL 分析に追加できます。 パブリック プレビュー中に、コードベースがテイントされたデータの追加ソースと見なすローカル ソース (コマンド ライン引数、環境変数、ファイル システム、データベースなど) を追加できます。

既定設定構成で使用される脅威モデルを編集できます。 詳細については、「既定設定の既存構成をカスタマイズする」を参照してください。

既定のセットアップでCodeQL モデル パックを使用してCodeQLカバレッジを拡張する

メモ

CodeQL モデル パックは現在 パブリック プレビュー 段階であり、変更される可能性があります。 モデル パックは C/C++、C#、Java/Kotlin、Python、および Ruby 分析でサポートされます。

Visual Studio Code 用 CodeQL 拡張機能の CodeQL モデル エディターでは、C#、Java/Kotlin、Python、Ruby に対する依存関係のモデリングがサポートされています。

          に含まれる標準ライブラリで認識されないフレームワークとライブラリを使用CodeQL場合は、依存関係をモデル化し、code scanning分析を拡張できます。 詳細については、[](https://codeql.github.com/docs/codeql-overview/supported-languages-and-frameworks/)のドキュメントでCodeQLを参照してください。

既定のセットアップでは、モデル パックで追加の依存関係のモデル CodeQL 定義する必要があります。 既定のセットアップでは、個々のリポジトリの CodeQL モデル パックを使用するか、組織内のすべてのリポジトリに対して大規模にカバレッジを拡張できます。

          CodeQLモデル パックと独自のモデル パックの記述の詳細については、[AUTOTITLE](/code-security/codeql-for-vs-code/using-the-advanced-functionality-of-the-codeql-for-vs-code-extension/using-the-codeql-model-editor) を参照してください。

リポジトリの対象範囲を拡張する

  1. リポジトリの .github/codeql/extensions ディレクトリで、分析に含めるライブラリやフレームワーク用の追加モデルを含む codeql-pack.yml ファイルおよび .yml ファイルが含まれるモデル パック ディレクトリをコピーします。
  2. モデル パックは自動的に検出され、 code scanning 分析で使用されます。
  3. 後で高度な設定を使用するように構成を変更した場合、.github/codeql/extensions ディレクトリ内のすべてのモデル パックは引き続き認識され、使用されます。

組織内のすべてのリポジトリの対象範囲を拡張する

メモ

組織内のすべてのリポジトリのCodeQL モデル パックを使用してカバレッジを拡張する場合、指定するモデル パックは、 インスタンス (GitHub Enterprise Server)https://containers.HOSTNAMEコンテナー レジストリに発行し、code scanning実行するリポジトリからアクセスできる必要があります。 詳細については、「コンテナレジストリの利用」を参照してください。

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの [Security] セクションで、 [Advanced Security][Global settings] の順にクリックします。

  4. [Code scanning] セクションを見つけます。

  5. [ CodeQL 分析の展開] の横にある [ 構成] をクリックします。

  6. 使用する公開済みモデル パックへの参照を、1 行に 1 つずつ入力し、[保存] をクリックします。

    組織の設定の [CodeQL 分析を展開] ビューのスクリーンショット。

  7. モデル パックは、既定のセットアップが有効になっている組織内の任意のリポジトリで code scanning が実行されるときに自動的に検出され、使用されます。

その他のカスタマイズ

          code scanning構成のその他の側面を変更する必要がある場合は、詳細設定の構成を検討してください。 「[AUTOTITLE](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/configuring-advanced-setup-for-code-scanning)」を参照してください。