Enterprise Server 3.21 в настоящее время доступен в качестве кандидата на выпуск.

Оценка настройки по умолчанию для сканирования кода

Узнайте, как оценить работу сканирования кода и как настроить настройку настройки в соответствии с вашими потребностями.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

В этой статье

Когда вы только начинаете пользоваться code scanning, скорее всего, будете использовать стандартную настройку. В этом руководстве объясняется, как оценить, насколько работает настройка по умолчанию code scanning для вас, и какие шаги предпринять, если что-то работает не так, как вы ожидаете. В этом руководстве также описано, как можно настроить code scanning , если у вас есть конкретный сценарий использования, который не подходит вашей новой конфигурации.

Кастомизация code scanning

При первой настройке установки по умолчанию или после первоначального анализа кода можно изменить, какие языки по умолчанию будут анализировать и выполнять набор запросов во время анализа. Набор default запросов содержит набор запросов, которые тщательно предназначены для поиска наиболее важных проблем безопасности, при этом минимизируя ложные положительные результаты. Однако вы можете использовать security-extended набор для выполнения дополнительных запросов, которые имеют немного меньшую точность. Дополнительные сведения о доступных наборах запросов см. в разделе Наборы запросов CodeQL.

Дополнительные сведения о настройке настройки по умолчанию см. в разделе Изменение конфигурации настройки по умолчанию.

Использование расширенной настройки

Если вам всё ещё нужен более детальный контроль code scanning, можно использовать продвинутую настройку. Для расширенной настройки требуется значительно больше усилий по настройке, настройке и обслуживанию, поэтому сначала рекомендуется включить настройку по умолчанию. Дополнительные сведения о расширенной настройке см. в разделе [AUTOTITLE и Настройка расширенной настройки для сканирования кода](/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning).

Оценка code scanning с помощью Страница состояния средства

Там Страница состояния средства есть полезная информация обо всех ваших code scanning инструментах. Его можно использовать для изучения того, работают ли отдельные средства для репозитория, когда файлы в репозитории были сначала сканированы и недавно проверены, а также при планировании предстоящих проверок. Это также полезная отправная точка для отладки проблем.

Используя Страница состояния средства, вы можете скачать список правил, которые code scanning проверяются, в формате CSV. Для интегрированных инструментов, таких CodeQLкак , вы также можете увидеть более подробную информацию, включая процент отсканированных файлов и конкретные сообщения об ошибках.

Если вы обнаружите, что стандартная настройка не сканирует все ваши файлы, возможно, придётся настроить code scanning. Дополнительные сведения см. в разделе "Настройка сканирования кода" в этой статье. Кроме того, или если что-то другое не работает, как вы ожидаете, вы можете найти нашу выделенную документацию по устранению неполадок. Дополнительные сведения см. в разделе Устранение ошибок анализа сканирования кода.

Для более подробной информации о Страница состояния средства, см. Используйте страницу статуса инструмента для сканирования кода.