Настройка настройки по умолчанию для сканирования кода в масштабе

Вы можете быстро настроить code scanning для репозиториев в организации с помощью настройки по умолчанию.

Кто может использовать эту функцию?

Владельцы организации, руководители безопасности и члены организации с ролью администратора

Code scanning доступен для следующих типов репозитория:

В этой статье

О настройке настройки по умолчанию в масштабе

При настройке по умолчанию для code scanningвы можете быстро защитить код в репозиториях в организации.

Вы можете включить code scanning для всех репозиториев в организации, которые могут быть настроены по умолчанию. После включения настройки по умолчанию код, написанный на CodeQLподдерживаемых языках в репозиториях в организации, будет сканирован:

  • При каждой отправке в ветвь по умолчанию репозитория или любой защищенная ветвь. Дополнительные сведения о защищенная ветвь см. в разделе Сведения о защищенных ветвях.
  • При создании или фиксации запроса на вытягивание на основе ветвь по умолчанию репозитория или любых защищенная ветвь, исключая запросы на вытягивание из вилок.
  • Еженедельное расписание.

Дополнительные сведения см. в статье Настройка настройки по умолчанию для всех подходящих репозиториев в организации.

Для репозиториев, которые не имеют права на настройку по умолчанию, можно настроить расширенную настройку на уровне репозитория или на уровне организации с помощью скрипта. Дополнительные сведения см. в разделе Настройка расширенной настройки для сканирования кода с помощью CodeQL в масштабе.

Допустимые репозитории для CodeQL по умолчанию настроены в масштабе

Репозиторий должен соответствовать всем следующим критериям, чтобы иметь право на настройку по умолчанию, в противном случае необходимо использовать расширенную настройку.

  • Расширенная настройка для code scanning еще не включена.
  • Использует Go, JavaScript/TypeScript, Python или Ruby.
  • Включены GitHub Actions .
  • Параметр GitHub Advanced Security включен.

Рекомендуется включить настройку по умолчанию для подходящих репозиториев, если есть вероятность того, что репозитории будут включать по крайней мере один CodeQLподдерживаемый язык в будущем. Если включить настройку по умолчанию в репозитории, включающую никакие CodeQLподдерживаемые языки, программа установки по умолчанию не будет выполнять проверки или использовать какие-либо GitHub Actions минут. Если CodeQLподдерживаемые языки добавляются в ветвь по умолчанию репозитория, программа установки по умолчанию автоматически начнет сканирование CodeQLподдерживаемых языков и использование GitHub Actions минут. Дополнительные сведения о CodeQLподдерживаемых языках см. в разделе О проверке кода с помощью CodeQL.

Сведения о добавлении языков в существующую конфигурацию установки по умолчанию

Если код в репозитории изменяется, чтобы включить язык CodeQL, то GitHub автоматически обновит конфигурацию code scanning для включения нового языка. Если code scanning завершается ошибкой с новой конфигурацией, GitHub автоматически возобновляет предыдущую конфигурацию, чтобы репозиторий не потерял code scanning покрытия.

Настройка настройки по умолчанию для всех подходящих репозиториев в организации

Вы можете включить настройку по умолчанию для всех подходящих репозиториев в организации. Дополнительные сведения см. в разделе Сведения о включении функций безопасности в масштабе.

Расширение охвата CodeQL в настройке по умолчанию

На странице параметров безопасности организации можно расширить охват по умолчанию с помощью пакетов моделей для всех подходящих репозиториев в вашей организации. Дополнительные сведения см. в разделе Изменение конфигурации настройки по умолчанию.

Настройка установки по умолчанию для подмножества репозиториев в организации

Вы можете отфильтровать определенные репозитории, для которые вы хотите настроить настройку по умолчанию. Дополнительные сведения см. в разделе Применение настраиваемой конфигурации безопасности.

Настройка защиты слиянием для всех репозиториев в организации

Вы можете использовать наборы правил, чтобы предотвратить объединение запросов на вытягивание при выполнении одного из следующих условий:

  • Необходимое средство обнаружило оповещение code scanning о серьезности, определенной в наборе правил.

  • Необходимый анализ данных code scanning по-прежнему выполняется.

  • Обязательный инструмент code scanning не настроен для репозитория.

Дополнительные сведения см. в разделе Настройка защиты от сканирования кода слиянием. Дополнительные сведения о наборах правил см. в разделе Сведения о наборе правил.