Изменение конфигурации настройки по умолчанию

Вы можете изменить текущую конфигурацию по умолчанию code scanning , чтобы лучше соответствовать вашим потребностям.

Кто может использовать эту функцию?

Владельцы организации, руководители безопасности и члены организации с ролью администратора

В этой статье

После первоначального анализа кода с настройками по умолчанию вы можете внести изменения в конфигурацию, чтобы лучше соответствовать вашим потребностям. См. О типах настроек для сканирования кода и Свойства репозитория для code scanning.

Настройка существующей конфигурации настройки по умолчанию

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. В строке "CodeQL analysis" раздела "Code Security" выберите , затем нажмите View CodeQL configuration.

  5. В окне «CodeQL default configuration» нажмите Edit.

  6. При необходимости в разделе "Языки" выберите или отмените выбор языков для анализа.

  7. При необходимости в строке "Набор запросов" раздела "Параметры сканирования" выберите другой набор запросов для выполнения в коде.

  8. По желанию, чтобы использовать маркированные бегущие, в разделе «Тип бегуна» диалогаCodeQL «по умолчанию» выберите Standard GitHub runner, чтобы открыть выпадающее меню, затем выберите Labeled runner. Затем рядом с «Runner label» введите метку существующего самостоятельного или GitHub-hosted runner. Дополнительные сведения см. в разделе Настройка настройки по умолчанию для сканирования кода.

  9. (Public preview) По желанию, в строке «Модель угрозы» в разделе «Настройки сканирования» выберите Удалённые и локальные источники. Эта опция доступна только для репозиториев с кодом на поддерживаемом языке: Java/Kotlin и C#.

  10. Чтобы обновить конфигурацию, а также выполнить первоначальный анализ кода с новой конфигурацией, нажмите кнопку "Сохранить изменения". Все будущие анализы будут использовать новую конфигурацию.

Определение серьезности оповещений, вызывающих сбой проверки запроса на вытягивание

Вы можете использовать наборы правил, чтобы предотвратить объединение запросов на вытягивание при выполнении одного из следующих условий:

  • Требуемый инструмент находит code scanning оповещение о тяжести, определённой в наборе правил.
  • Анализ необходимого инструмента всё ещё продолжается.
  • Требуемый инструмент не настроен для репозитория.

Дополнительные сведения см. в разделе Настройка защиты от сканирования кода слиянием. Дополнительные сведения о наборах правил см. в разделе Сведения о наборе правил.

Включение локальных источников незащищенных данных в настройке по умолчанию

Примечание.

Модели угроз в настоящее время находятся в public preview и подвергаются изменению. Во время public previewмодели угроз поддерживаются только анализом для Java/Kotlin и C#.

Если база кода считает только запросы удаленной сети потенциальными источниками неуправляемых данных, рекомендуется использовать модель угроз по умолчанию. Если ваша кодовая база рассматривает источники, отличные от сетевых запросов, потенциально содержащие заражённые данные, вы можете использовать модели угроз для добавления этих дополнительных источников в ваш CodeQL анализ. Во время public preview, вы можете добавить локальные источники (например: командные аргументы, переменные среды, файловые системы и базы данных), которые ваша кодовая база может считать дополнительными источниками заражённых данных.

Модель угроз, используемую в конфигурации установки по умолчанию, можно изменить. Дополнительные сведения см. в разделе "Настройка существующей конфигурации настройки по умолчанию".

Расширение CodeQL покрытия с CodeQL помощью наборов моделей в стандартной конфигурации

Примечание.

В настоящее время пакеты моделей CodeQL находятся в public preview и подвергаются изменению. Пакеты моделей поддерживаются для анализа C/C++, C#, Java/Kotlin, Python, Ruby, и Rust .

Редактор модели CodeQL в расширении CodeQL для Visual Studio Code поддерживает моделирование зависимостей для C#, Java/Kotlin, Python и Ruby.

Если GitHub.com вы используете фреймворки и библиотеки, не распознанные стандартными библиотеками, входящими в CodeQLкомплект, вы можете моделировать зависимости и расширять code scanning анализ. Для получения дополнительной информации см. раздел Поддерживаемые языки и фреймворки в документации для CodeQL.

Для настройки по умолчанию нужно определить модели дополнительных зависимостей в CodeQL пакетах моделей. Вы можете расширить покрытие при стандартной конфигурации с помощью CodeQL моделей для отдельных репозиториев или в масштабе для всех репозиториев организации.

Для получения дополнительной информации о CodeQL наборах моделей и написании собственного текста смотрите Использование редактора моделей CodeQL.

Расширение охвата репозитория

  1.        `.github/codeql/extensions` В каталоге репозитория скопируйте каталог пакета модели, который должен содержать `codeql-pack.yml` файл и все `.yml` файлы, содержащие дополнительные модели для библиотек или платформ, которые необходимо включить в анализ.
  2. Пакеты моделей будут автоматически обнаружены и использованы в вашем code scanning анализе.
  3. Если позже изменить конфигурацию, чтобы использовать расширенную настройку, все пакеты моделей в каталоге .github/codeql/extensions по-прежнему будут распознаны и использованы.

Расширение охвата для всех репозиториев в организации

Примечание.

Если вы расширяете покрытие моделями CodeQL для всех репозиториев организации, указанные вами пакеты должны быть опубликованы в GitHubContainer registry и доступны для репозиториев, выполняющих .code scanning Дополнительные сведения см. в разделе Работа с реестром контейнеров.

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security затем глобальные параметры.

  4. Найдите раздел «Code scanning».

  5. Рядом с «Развернуть CodeQL анализ» нажмите «Настроить».

  6. Введите ссылки на опубликованные пакеты модели, которые вы хотите использовать, по одной строке, а затем нажмите кнопку "Сохранить".

    Снимок экрана: представление "Развернуть анализ CodeQL" в параметрах для организации.

  7. Пакеты моделей будут автоматически обнаружены и использоваться при code scanning запуске в любом репозитории организации с включенной настройками по умолчанию.

Дальнейшая кастомизация

Если нужно изменить другие аспекты конфигурации code scanning , рассмотрите возможность настройки расширенной настройки. См . раздел AUTOTITLE.