通过 code scanning 的默认设置,可以快速保护整个组织的存储库中的代码。 有关详细信息,请参阅“关于代码扫描的设置类型”。
对于不适合默认设置的存储库,可以在存储库级别或使用脚本在组织级别配置高级设置。
先决条件
存储库必须满足以下所有条件才能符合默认设置的条件:
- code scanning 的高级设置尚未启用。
- 已启用 GitHub Actions。
- 它公开可见,或已启用 GitHub Code Security。
为组织中所有符合条件的存储库配置默认设置
可以为组织中所有符合条件的存储库启用默认设置。 有关详细信息,请参阅“关于批量启用安全功能”。
扩展默认设置中的 CodeQL 覆盖率
通过组织的安全设置页面,可以使用模型包为组织中所有符合条件的存储库扩展默认设置的覆盖范围。 有关详细信息,请参阅“编辑默认设置配置”。
为组织中的部分存储库配置默认设置
可以筛选要为其配置默认设置的特定存储库。 有关详细信息,请参阅“删除自定义安全配置”。
提供对专用注册表的默认设置访问权限
当存储库使用存储在专用注册表中的代码时,默认设置需要访问注册表才能有效工作。 有关详细信息,请参阅“授予安全功能访问专用注册表的权限”。
为组织中的所有存储库配置合并保护
当满足以下条件之一时,可以使用规则集防止合并拉取请求:
- 所需工具发现了一个 code scanning 警报,其严重性是在规则集中定义的。
- 所需 code scanning 工具的分析仍在进行中。
- 未为存储库配置所需的 code scanning 工具。
有关详细信息,请参阅“设置代码扫描合并保护”。 有关规则集的更多常规信息,请参阅“关于规则集”。