Konfigurieren des Standardsetups für das Code-Scanning

Richte code scanning schnell ein, um anfälligen Code automatisch zu suchen .

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

Code scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys auf GitHub.com
  • Organisationseigene Repositorys für GitHub Team, GitHub Enterprise Cloud oder GitHub Enterprise Server, wobei GitHub Advanced Security aktiviert sind.

In diesem Artikel

Es wird empfohlen, code scanning mit der Standardeinrichtung zu verwenden. Nachdem Sie das Standard-Setup zunächst konfiguriert haben, können Sie code scanning auswerten, um zu sehen, wie es für Sie funktioniert, und ihn an Ihre Anforderungen anzupassen. Weitere Informationen finden Sie unter Informationen zu Konfigurationstypen für die Code-Analyse.

Voraussetzungen

Dein Repository ist für das Standardsetup für code scanning berechtigt, wenn:

  • GitHub Actions ist aktiviert.
  • GitHub Advanced Security ist aktiviert.

Konfigurieren des Standardsetups für ein Repository

Hinweis

Wenn die Analysen für alle von CodeQL unterstützten Sprachen in einem Repository fehlschlagen, wird das Standardsetup zwar aktiviert, führt jedoch keine Überprüfungen durch und nutzt keine GitHub Actions-Minuten, bis eine weitere von CodeQL unterstützte Sprache zum Repository hinzugefügt oder das Standardsetup manuell neu konfiguriert wird und die Analyse einer von CodeQL unterstützten Sprache erfolgreich ist.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

    Hinweis

    Wenn du das Standardsetup für einen Fork konfigurierst, musst du zuerst GitHub Actions aktivieren. Klicken Sie zum Aktivieren von GitHub Actions unter Ihrem Repository-Namen auf Actions, und klicken Sie dann auf I understand my workflows, go ahead and enable them. Beachten Sie, dass dadurch alle vorhandenen Workflows in Ihrer Verzweigung aktiviert werden.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Code security.

  4. Wähle im Abschnitt „Code scanning“ die Option Set up aus, und klicke dann auf Default.

    Screenshot: Abschnitt „Code scanning“ der Code security-Einstellungen Die Schaltfläche „Standardeinrichtung“ ist mit einem orangefarbenen Umriss hervorgehoben.

    Daraufhin wird das Dialogfeld „CodeQL-Standardkonfiguration“ angezeigt, in dem die code scanning-Konfiguration zusammengefasst wird, die automatisch vom Standardsetup erstellt wurde.

  5. Klicke optional zum Anpassen deines code scanning-Setups auf Edit.

    • Um der vom Standardsetup durchgeführten Analyse eine Sprache hinzuzufügen oder daraus zu entfernen, aktiviere oder deaktiviere diese Sprache im Abschnitt „Sprachen“.
    • Um die CodeQL-Abfragesammlung anzugeben, die du verwenden möchtest, wähle im Abschnitt „Abfragesammlungen“ deine bevorzugte Abfragesammlung aus.

  6. Überprüfe die Einstellungen für das Standardsetup in deinem Repository, und klicke dann auf CodeQL aktivieren. Dadurch wird ein Workflow ausgelöst, der die neue, automatisch generierte Konfiguration testet.

    Hinweis

    Wenn Sie vom erweiterten Setup zum Standardsetup wechseln, wird eine Warnung angezeigt, die Sie darüber informiert, dass das Standardsetup vorhandene code scanning Konfigurationen überschreibt. Diese Warnung bedeutet, dass das Standardsetup die vorhandene Workflowdatei deaktiviert und jegliche Uploads der CodeQL-Analyse-API blockiert.

  7. Wähle optional zum Anzeigen deiner Standardsetupkonfiguration nach der Aktivierung aus, und klicke dann auf View CodeQL configuration.

Hinweis

Wenn in einem Repository mit aktiviertem Standardsetup seit 6 Monaten keine Pushes und Pull Requests ausgeführt wurden, wird der wöchentliche Zeitplan deaktiviert, um GitHub Actions-Minuten zu sparen.

Zuweisen von Läufern für das Standard-Setup

Hinweis

Code scanning sieht zugewiesene Runner, wenn das Standardsetup aktiviert ist. Wenn ein Runner einem Repository zugewiesen ist, das bereits das Standardsetup ausführt, müssen Sie das Standardsetup deaktivieren und erneut aktivieren, um mit der Verwendung des Runners zu beginnen. Wenn Sie einen Runner hinzufügen und mit der Verwendung beginnen möchten, können Sie die Konfiguration manuell ändern, ohne das Standardsetup deaktivieren und erneut aktivieren zu müssen.

Kennzeichnungen für selbst gehostete Runner zuweisen

Um einen selbst gehosteten Runner für die Standardeinrichtung zuzuweisen, können Sie die Standardkennzeichnung code-scanning verwenden, oder Sie können ihm optional angepasste Kennzeichnungen zuweisen, so dass einzelne Repositories unterschiedliche Runner verwenden können. Informationen über die Zuweisung von Kennzeichnungen für selbst gehostete Runner finden Sie unter Verwenden von Bezeichnungen mit selbstgehosteten Runnern.

Nachdem Sie selbst-gehosteten Runnern benutzerdefinierte Bezeichnungen zugewiesen haben, können Ihre Repositorys diese Runner für das Standardsetup der code scanning verwenden.

Sie können auch security configurations verwenden, um selbst gehosteten Runnern Kennzeichnungen für code scanning zuzuweisen. Weitere Informationen findest du unter Erstellen einer benutzerdefinierten Sicherheitskonfiguration.

Sicherstellung der Build-Unterstützung

Das Standardsetup verwendet den Build-Modus none für C# und Java und den Build-Modus autobuild für andere kompilierte Sprachen. Sie sollten Ihre selbst gehosteten Runner so konfigurieren, dass sie alle notwendigen Befehle für die C/C++-, C#- und Swift-Analyse ausführen können. Die Analyse von Javascript/TypeScript, Go, Ruby, Python und Kotlin erfordert derzeit keine spezielle Konfiguration.

Nächste Schritte

Nachdem deine Konfiguration mindestens einmal erfolgreich ausgeführt wurde, kannst du code scanning-Warnungen untersuchen und beheben. Weitere Informationen zu code scanning-Warnungen finden Sie unter Informationen zu Codeüberprüfungswarnungen und Bewertung von Code-Scanning-Warnungen für Ihr Repository.

Nachdem du das Standardsetup fürcode scanning konfiguriert hast, kannst du dich darüber informieren, wie du auswerten kannst, wie gut das Ganze für dich funktioniert, sowie über die nächsten Schritte, die du ausführen kannst, um es anzupassen. Weitere Informationen finden Sie unter Auswerten des Standardsetups für die Codeüberprüfung.

Ausführliche Informationen zu deiner code scanning-Konfiguration, einschließlich Zeitstempeln für jede Überprüfung und dem Prozentsatz der überprüften Dateien, findest du auf der Seite „Toolstatus“. Weitere Informationen finden Sie unter Verwenden der Toolstatusseite zum Scannen von Code.

Beim Konfigurieren des Standardsetups tritt möglicherweise ein Fehler auf. Weitere Informationen zum Behandeln bestimmter Fehlern finden Sie unter Behebung von Fehlern bei der Code-Scan-Analyse.