Konfigurieren des erweiterten Setups für das Code-Scanning

Sie können das erweiterte Setup für ein Repository konfigurieren, um Sicherheitsrisiken in Ihrem Code mithilfe einer hochgradig anpassbaren code scanning Konfiguration zu finden.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

Code scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys auf GitHub.com
  • Organisationseigene Repositorys für GitHub Team, GitHub Enterprise Cloud oder GitHub Enterprise Server, wobei GitHub Code Security aktiviert sind.

In diesem Artikel

Wenn Sie keine hochgradig anpassbare code scanning Konfiguration benötigen, sollten Sie die Standardeinrichtung für code scanning in Betracht ziehen. Weitere Informationen findest du unter Informationen zu Konfigurationstypen für die Code-Analyse.

Voraussetzungen

Dein Repository ist für den erweiterten Setup berechtigt, wenn es diese Anforderungen erfüllt.

  • Sie verwendet CodeQL-unterstützte Sprachen, oder Sie planen, Codeüberprüfungsergebnisse mit einem Drittanbietertool zu generieren.
  • GitHub Actions ist aktiviert.
  • Es ist öffentlich sichtbar, oder GitHub Code Security ist aktiviert.

Konfiguration der erweiterten Einrichtung für code scanning mit CodeQL

Sie können Ihre CodeQL Analyse anpassen, indem Sie eine Workflowdatei erstellen und bearbeiten. Wenn Sie erweitertes Setup auswählen, wird eine grundlegende Workflowdatei generiert, die Sie mithilfe der standardmäßigen Workflowsyntax anpassen und Optionen für die CodeQL Aktion angeben können. Siehe Workflows und Workflowkonfigurationsoptionen für die Codeüberprüfung.

Beim Einsatz von Aktionen zum Ausführen von code scanning werden Minuten verwendet. Weitere Informationen findest du unter Abrechnung für GitHub Actions.

Hinweis

Sie können code scanning für jedes öffentliche Repository konfigurieren, in dem Sie Schreibzugriff haben.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Scrollen Sie nach unten zu "Code Security", wählen Sie in der Zeile "CodeQL Analyse" die Option "Einrichten" aus, und klicken Sie dann auf "Erweitert".

    Hinweis

    Wenn Sie von der Standardeinrichtung zum erweiterten Setup wechseln, wählen Sie in der Zeile "CodeQL Analyse" die Option aus, und klicken Sie dann auf "Wechseln" zu "Erweitert". Klicken Sie im daraufhin angezeigten Popupfenster auf "Deaktivieren" CodeQL.

    Screenshot: Abschnitt „Code Security“ der Advanced Security-Einstellungen Die Schaltfläche „Erweiterte Einrichtung“ ist mit einem orangefarbenen Umriss hervorgehoben.

  5. Um das Scannen Ihres Codes mit code scanning anzupassen, bearbeiten Sie den Workflow.

    Im Allgemeinen können Sie das Commit CodeQL-Analyseworkflow ausführen, ohne Änderungen daran vorzunehmen. Viele der Drittanbieterworkflows erfordern jedoch eine zusätzliche Konfiguration. Lies daher vor dem Committen die Kommentare im Workflow.

    Weitere Informationen findest du unter Workflowkonfigurationsoptionen für die Codeüberprüfung und CodeQL-Codeüberprüfung für kompilierte Sprachen.

  6. Klicke auf Änderungen committen... , um das Formular für Commitänderungen anzuzeigen.

    Screenshot des Formulars zum Erstellen einer neuen Datei. Rechts neben dem Dateinamen befindet sich eine grüne Schaltfläche mit der Bezeichnung „Änderungen committen...“, die dunkelorange umrandet ist.

  7. Geben Sie im Feld „Commit-Nachricht“ eine Commit-Nachricht ein.

  8. Wähle aus, ob du direkt in den Standardbranch committen möchtest, oder erstelle einen neuen Branch, und starte einen Pull Request.

  9. Klicke auf Neue Datei committen, um die Workflowdatei in den Standardbranch zu committen, oder klicke auf Neue Datei vorschlagen, um die Datei in einen neuen Branch zu committen.

  10. Wenn du einen neuen Branch erstellt hast, klicke auf Pull Request erstellen, und öffne einen Pull Request, um die Änderung in den Standardbranch zu mergen.

Im vorgeschlagenen CodeQL-Analyseworkflow wird code scanning so konfiguriert, dass Ihr Code jedes Mal analysiert wird, wenn Sie entweder eine Änderung an die Standardverzweigung oder an jede geschützte Verzweigung übertragen oder einen Pull-Request für die Standardverzweigung auslösen. Infolgedessen wird code scanning nun beginnen.

Die on:pull_request- und on:push-Trigger für Codescans sind jeweils für unterschiedliche Zwecke nützlich. Siehe Workflowkonfigurationsoptionen für die Codeüberprüfung und Auslösen eines Workflows.

Informationen zur Massenaktivierung finden Sie unter Konfigurieren des erweiterten Setups für das Codescanning mit CodeQL im großen Stil.

Konfigurieren von code scanning mithilfe von Drittanbieter-Aktionen

          GitHub enthält Workflowvorlagen für Drittanbieteraktionen sowie die CodeQL Aktion. Die Verwendung einer Workflowvorlage ist wesentlich einfacher als das Schreiben eines Workflows ohne Hilfe.

Beim Einsatz von Aktionen zum Ausführen von code scanning werden Minuten verwendet. Weitere Informationen findest du unter Abrechnung für GitHub Actions.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Actions.

    Screenshot: Registerkarten für das Repository „github/docs“. Die Registerkarte „Aktionen“ ist mit einem orangefarbenen Rahmen hervorgehoben.

  3. Wurde für das Repository bereits mindestens ein Workflow konfiguriert und ausgeführt, klicken Sie auf Neuer Workflow, um die Workflowvorlagen anzuzeigen. Sind derzeit keine Workflows für das Repository konfiguriert, fahre mit dem nächsten Schritt fort.

    Screenshot der Registerkarte „Aktionen“ für ein Repository. Die Schaltfläche „Neuer Workflow“ ist dunkelorange hervorgehoben.

  4. Scrollen Sie in der Ansicht "Workflow auswählen" oder "Erste Schritte mit GitHub Actions" zur Kategorie "Sicherheit", und klicken Sie unter dem Workflow, den Sie konfigurieren möchten, auf "Konfigurieren ". Möglicherweise musst du auf Alle anzeigen klicken, um den Sicherheitsworkflow zu finden, den du konfigurieren möchtest.

    Screenshot der Kategorie „Sicherheit“ von Workflowvorlagen. Die Schaltfläche „Konfigurieren“ und der Link „Alle anzeigen“ sind mit einem orangefarbenen Umriss hervorgehoben.

  5. Befolge alle Anweisungen im Workflow, um ihn an deine Anforderungen anzupassen. Um allgemeinere Unterstützung zu Workflows zu erhalten, klicke im rechten Bereich der Workflowseite auf Dokumentation.

    Screenshot, der eine zur Bearbeitung geöffnete Workflow-Vorlagendatei zeigt. Die Schaltfläche „Dokumentation“ ist mit einem orangefarbenen Umriss hervorgehoben.

  6. Wenn du die Konfiguration definiert hast, füge den neuen Workflow zu deinem Standardbranch hinzu.

    Weitere Informationen findest du unter Verwenden von Workflowvorlagen und Workflowkonfigurationsoptionen für die Codeüberprüfung.

Nächste Schritte

Nachdem Ihr Workflow mindestens einmal erfolgreich ausgeführt wurde, können Sie mit der Untersuchung und Behebung von code scanning Warnungen beginnen. Weitere Informationen zu code scanning Warnungen finden Sie unter Informationen zu Codeüberprüfungswarnungen und Bewertung von Code-Scanning-Warnungen für Ihr Repository.

Erfahren Sie, wie code scanning sich die Ausführung als Überprüfungen bei Pullanforderungen verhält, siehe Filtern von Codescanbenachrichtigungen in Pull-Anforderungen.

Detaillierte Informationen zu Ihrer code scanning Konfiguration, einschließlich Zeitstempel für jede Überprüfung und den Prozentsatz der gescannten Dateien, finden Sie auf der Toolstatusseite. Weitere Informationen findest du unter Verwenden der Toolstatusseite zum Scannen von Code.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests).

  •         [AUTOTITLE](/account-and-profile/managing-subscriptions-and-notifications-on-github/setting-up-notifications/configuring-notifications#github-actions-notification-options).

  •         [AUTOTITLE](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning).

  •         [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/viewing-code-scanning-logs).