Настройка настройки по умолчанию для сканирования кода

Быстро настройтесь code scanning на автоматический поиск и исправление уязвимого кода.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

Code scanning доступен для следующих типов репозитория:

  • Общедоступные репозитории для GitHub.com
  • Репозитории, принадлежащие организации, на GitHub Team, GitHub Enterprise Cloud или GitHub Enterprise Server, с включённым GitHub Code Security .

В этой статье

Рекомендуем начать code scanning с настройки по умолчанию. После первоначальной настройки по умолчанию вы можете оценить code scanning , как она работает для вас, и настроить её под свои нужды. Дополнительные сведения см. в разделе О типах настроек для сканирования кода.

Необходимые условия

Ваш репозиторий подходит для настройки по умолчанию, если code scanning :

  • GitHub Actions включен.
  • Он является общедоступным или включен параметр GitHub Code Security.

Настройка установки по умолчанию для репозитория

Примечание.

Если анализ не сработает для всех CodeQLподдерживаемых языков в репозитории, настройка по умолчанию будет включена, но не будет запускаться сканирование и не использовать минуты GitHub Actions , пока в репозиторий не будет добавлен другой CodeQLподдерживаемый язык или настройка по умолчанию не будет вручную перенастроена, и анализ CodeQLподдерживаемого языка не будет успешным.

  1. На GitHubперейдите на главную страницу репозитория.

    Примечание.

    Если вы настраиваете настройки по умолчанию на форке, сначала нужно включить GitHub Actions. Чтобы включить GitHub Actions, под именем репозитория нажмите «Действия», затем « Я понимаю свои рабочие процессы» и включите их. Помните, что это позволит включить все существующие рабочие процессы на вилке.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. В разделе "Code Security" справа от "CodeQL анализа", выберите **<% octicon "треугольник вниз" aria-hidden="true" aria-label="треугольник вниз" %}, а затем нажмите кнопку Default.

    Снимок экрана: раздел "Code scanning" параметров "Advanced Security". Кнопка "Настройка по умолчанию" выделена оранжевым контуром.

    Затем вы увидите диалог «CodeQL по умолчанию конфигурацию», который code scanning суммирует конфигурацию, автоматически созданную по умолчанию.

  5. По желанию, чтобы настроить вашу code scanning конфигурацию, нажмите Редактировать.

    • Чтобы добавить или удалить язык из анализа, выполняемого по умолчанию, выберите или отключите этот язык в разделе "Языки".
    • Чтобы определить CodeQL набор запросов, который вы хотите использовать, выберите предпочитаемый набор запросов в разделе «Наборы запросов».

  6. Просмотрите настройки по умолчанию в вашем репозитории, затем нажмите Включить CodeQL. При этом будет активирован рабочий процесс, который проверяет новую, автоматически созданную конфигурацию.

    Примечание.

    Если вы переключаетесь с расширенной настройки на стандартную настройку, вы увидите предупреждение, что стандартная настройка переопределит существующие code scanning настройки. Это предупреждение означает, что настройка по умолчанию отключит существующий файл рабочего процесса и заблокирует любые CodeQL загрузки API анализа.

  7. Если проекты в вашем репозитории зависят от зависимостей в частных реестрах пакетов, вы можете предоставить code scanning им доступ. Это может улучшить результаты и качество анализа. См . раздел AUTOTITLE.

  8. По желанию можно настроить другие настройки, которые влияют на стандартную настройку. См . раздел AUTOTITLE.

  9. По желанию, чтобы просмотреть свою стандартную конфигурацию после включения, выберите , затем нажмите Посмотреть CodeQL конфигурацию.

Примечание.

Если в репозитории с включенной настройками по умолчанию не было push и pull request в течение 6 месяцев, еженедельное расписание будет отключено, чтобы сэкономить ваши GitHub Actions минуты.

Запуск настройки по умолчанию на самостоятельном хостинге или более крупные бегуны

Вы можете использовать настройки по умолчанию для всех CodeQLподдерживаемых языков на самостоятельных раннерах или GitHub-hosted runners.

Примечание.

Code scanning Видит назначенных участников, когда настройка по умолчанию включена. Если средство выполнения назначено репозиторию, которое уже выполняет настройку по умолчанию, необходимо отключить и повторно включить настройку по умолчанию для запуска с помощью средства выполнения. Если вы добавите средство выполнения и хотите начать использовать его, можно изменить конфигурацию вручную без необходимости отключить и повторно включить настройку по умолчанию.

Присваивание ярлыков самостоятельным бегунам

Чтобы назначить самостоятельного раннера для настройки по умолчанию, можно использовать стандартную code-scanning метку или, по желанию, дать им пользовательские метки, чтобы отдельные репозитории могли использовать разные раннеры Для получения информации о присвоении меток самостоятельным бегунам см. Использование меток с самостоятельно размещенными средствами выполнения.

После того как вы назначили пользовательские метки самостоятельным раннерам, ваши репозитории смогут использовать эти раннеры для code scanning настройки по умолчанию.

Вы также security configurations можете использовать для назначения меток самостоятельным раннерам для code scanning. См . раздел AUTOTITLE.

Назначение более крупные бегуны

Чтобы назначить крупное средство выполнения, назовите бегуна code-scanning. Это автоматически добавит code-scanning метку к крупное средство выполнения. Организация может иметь только одного крупное средство выполнения с code-scanning этим брендом, и этот раннер будет выполнять все code scanning задачи из репозиториев внутри вашей организации с доступом к группе участника. См . раздел AUTOTITLE.

Обеспечение поддержки строительства

Настройка по умолчанию использует none режим сборки для C/C++, C#, Java и Rust других скомпилированных языков и использует autobuild режим сборки. Необходимо настроить локальные средства выполнения, чтобы убедиться, что они могут выполнять все необходимые команды для анализа C/C++, C#и Swift. Анализ кода JavaScript/TypeScript, Go, Ruby, Python и Kotlin в настоящее время не требует специальной конфигурации.

Дальнейшие действия

После успешной работы конфигурации хотя бы один раз можно начать проверять и разрешать code scanning оповещения. Для получения дополнительной информации об code scanning уведомлениях смотрите О предупреждениях о сканировании кода и Оценка оповещений сканирования кода для репозитория.

После того как вы настроите стандартную настановку для code scanning, вы сможете прочитать о том, как он работает для вас, и какие следующие шаги можно предпринять для настройки. Дополнительные сведения см. в разделе Оценка настройки по умолчанию для сканирования кода.

Подробную информацию о вашей code scanning конфигурации, включая временные метки для каждого сканирования и процент отсканированных файлов, можно найти на странице статуса инструмента. Дополнительные сведения см. в разделе Используйте страницу статуса инструмента для сканирования кода.

При настройке настройки по умолчанию может возникнуть ошибка. Сведения об устранении определенных ошибок см. в разделе Устранение ошибок анализа сканирования кода.