Enterprise Server 3.20 в настоящее время доступен в качестве кандидата на выпуск.

Настройка расширенной настройки для сканирования кода

Вы можете настроить расширенную настройку для репозитория, чтобы найти уязвимости безопасности в коде с помощью конфигурации с высокой степенью настройки code scanning .

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

Code scanning доступен для следующих типов репозитория:

  • Общедоступные репозитории для GitHub.com
  • Репозитории, принадлежащие организации, на GitHub Team, GitHub Enterprise Cloud или GitHub Enterprise Server, с включённым GitHub Code Security .

В этой статье

Примечание.

Администратор сайта должен включить code scanning перед использованием этой функции. Если вы хотите использовать GitHub Actions для сканирования кода, администратор сайта также должен включить GitHub Actions и настроить необходимую инфраструктуру. Дополнительные сведения см. в разделе Настройка сканирования кода для устройства.

Примечание.

В этой статье описываются функции, доступные в версии действия CodeQL и связанного пакета CodeQL CLI в первоначальном выпуске этой версии GitHub Enterprise Server. Если ваше предприятие использует более последнюю версию действия CodeQL, ознакомьтесь с версией GitHub Enterprise Cloud этой статьи, чтобы узнать о последних функциях. Сведения об использовании последней версии см. в разделе Настройка сканирования кода для устройства.

Если вам не нужна настраиваемая конфигурация code scanning, рекомендуется использовать настройку по умолчанию для code scanning. Дополнительные сведения см. в разделе О типах настроек для сканирования кода.

Предпосылки

Ваш репозиторий имеет право на расширенную настройку, если она соответствует этим требованиям.

  • Он использует CodeQLподдерживаемых языках или планируете создавать результаты сканирования кода с помощью стороннего средства.
  • GitHub Actions включен.
  • Параметр GitHub Code Security включен.

Если сервер, на котором выполняется GitHub Enterprise Server, не подключен к Интернету, администратор сайта может включить CodeQL code scanning путем добавления пакета анализа CodeQL на сервере. Дополнительные сведения см. в разделе Настройка сканирования кода для устройства.

Настройка расширенной настройки для code scanning с помощью CodeQL

Вы можете настроить анализ CodeQL путем создания и редактирования файла рабочего процесса. При выборе расширенной установки создается базовый файл рабочего процесса для настройки с помощью стандартного синтаксиса рабочего процесса и указания параметров для действия CodeQL . См. раздел [AUTOTITLE и Рабочие процессы](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning).

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. Прокрутите вниз до "Code Security", в строке "CodeQL анализа" выберите "Настроить " треугольник вниз" aria-down"true" aria-label="треугольник вниз" %}, а затем нажмите кнопку "Дополнительно".

    Примечание.

    Если вы переключитесь с настройки по умолчанию на расширенную настройку, в строке "CodeQL анализа выберите , а затем выберите Переключитесь на расширенный. В появившемся всплывающем окне нажмите кнопку "Отключить" CodeQL.

    Снимок экрана: раздел "Code Security" параметров "Advanced Security". Кнопка "Расширенная настройка" выделена оранжевым контуром.

  5. Чтобы настроить работу code scanning по сканированию кода, измените рабочий процесс.

    Как правило, можно зафиксировать переменные данных Рабочий процесс анализа CodeQL без внесения изменений в него. Однако многие из сторонних рабочих процессов нуждаются в дополнительной настройке, поэтому перед фиксацией прочтите комментарии в рабочем процессе.

    Дополнительные сведения см. в разделе [AUTOTITLE и Параметры настройки рабочих процессов для сканирования кода](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/codeql-code-scanning-for-compiled-languages).

  6. Нажмите кнопку "Зафиксировать изменения", чтобы отобразить форму изменений фиксации.

    Снимок экрана: форма для создания нового файла. Справа от имени файла зеленая кнопка с меткой "Фиксация изменений...", выделена темно-оранжевым цветом.

  7. В поле сообщения фиксации введите сообщение фиксации.

  8. Выберите, следует ли выполнять фиксацию непосредственно в ветви по умолчанию или создайте новую ветвь и запустите запрос на вытягивание.

  9. Нажмите кнопку "Зафиксировать новый файл", чтобы зафиксировать файл рабочего процесса в ветвь по умолчанию или щелкните "Предложить новый файл", чтобы зафиксировать файл в новую ветвь.

  10. Если вы создали новую ветвь, нажмите кнопку "Создать запрос на вытягивание" и откройте запрос на вытягивание, чтобы объединить изменение в ветвь по умолчанию.

В предлагаемых Рабочий процесс анализа CodeQL, code scanning настраивается для анализа кода при каждом отправке изменения в ветвь по умолчанию или любых защищенная ветвь или вызове запроса на вытягивание к ветвь по умолчанию. В результате code scanning теперь начнется.

Триггеры on:pull_request и on:push для проверки кода используются для разных целей. См. раздел [AUTOTITLE и Параметры настройки рабочих процессов для сканирования кода](/actions/using-workflows/triggering-a-workflow).

Сведения о массовом включении см. в разделе Настройка расширенной настройки для сканирования кода с помощью CodeQL в масштабе.

Дальнейшие шаги

После успешного выполнения рабочего процесса можно начать изучение и разрешение оповещений code scanning . Дополнительные сведения о оповещениях code scanning см. в разделе [AUTOTITLE и О предупреждениях о сканировании кода](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

Узнайте, как code scanning работает в качестве проверок запросов на вытягивание, см . раздел AUTOTITLE.

Подробные сведения о конфигурации code scanning можно найти, включая метки времени для каждой проверки и процент отсканированных файлов на странице состояния средства. Дополнительные сведения см. в разделе Используйте страницу статуса инструмента для сканирования кода.

Дополнительные материалы

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests).

  •         [AUTOTITLE](/account-and-profile/managing-subscriptions-and-notifications-on-github/setting-up-notifications/configuring-notifications#github-actions-notification-options).

  •         [AUTOTITLE](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning).

  •         [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/viewing-code-scanning-logs).