关于默认设置
code scanning 的默认设置是为存储库启用 code scanning 的最快、最简单、维护量最低的方法。 根据存储库中的代码,默认设置将自动创建自定义 code scanning 配置。 启用默认设置后,将扫描存储库中以 CodeQL 支持的语言编写的代码:
- 每次推送到存储库的默认分支或任何受保护的分支时。 有关受保护分支的详细信息,请参阅“关于受保护分支”。
- 根据存储库的默认分支或任何受保护的分支创建或提交拉取请求时,不包括分支中的拉取请求。
- 每周一次。
如果需要更精细地控制 code scanning 配置,则应改为配置高级设置。
支持的语言
如果符合条件的存储库将来可能至少包含一种 CodeQL 支持的语言,我们建议为这些存储库启用默认设置。 如果在不包含任何 CodeQL 支持的语言的存储库上启用默认设置,则默认设置将不会运行任何扫描或使用任何 GitHub Actions 分钟。 如果将 CodeQL 支持的语言添加到仓库的默认分支,则默认设置将自动开始扫描 CodeQL 支持的语言,并使用 GitHub Actions 分钟。 有关 CodeQL 支持的语言的详细信息,请参阅“关于使用 CodeQL 进行代码扫描”。
如果存储库中的代码发生更改,以包含任何 CodeQL 支持的语言,则 GitHub 将自动更新 code scanning 配置以包含新语言。 如果 code scanning 因新配置而失败,GitHub 将自动恢复以前的配置,因此存储库不会失去 code scanning 覆盖范围。
可用运行程序
可以在自托管运行程序或 GitHub 托管运行程序上对所有 CodeQL 支持的语言使用默认设置。
可以通过为运行程序 code-scanning 标签。
关于高级设置
需要自定义 code scanning 时,code scanning 的高级设置非常有用。 通过创建和编辑工作流文件,可以定义如何生成已编译语言、选择要运行的查询、选择要扫描的语言、使用矩阵生成等。 还可以访问用于控制工作流的所有选项,例如:更改扫描日程安排、定义工作流触发器、指定要使用的专业运行器。
网站管理员也可以通过设置 GitHub Connect,使code scanning用户可以使用第三方操作。 有关详细信息,请参阅“为设备配置代码扫描”。
如果使用多个配置运行代码扫描,则警报有时会有多个分析源。 如果警报有多个分析源,你可在警报页上查看每个分析源的警报状态。 有关详细信息,请参阅“关于代码扫描警报”。
后续步骤
可以同时为组织中的单个存储库、多个存储库或所有存储库启用默认设置。
- 有关单个存储库,请参阅 配置代码扫描的默认设置。
- 有关批量启用,请参阅 配置大规模代码扫描的默认设置。
若要改为配置高级设置,请参阅 配置代码扫描的高级设置。