Skip to main content

配置大规模代码扫描的默认设置

可以使用默认设置为整个组织的存储库快速配置 code scanning。

Code scanning 可用于 GitHub.com 上的所有公共存储库。 Code scanning 也可用于使用 GitHub Enterprise Cloud 并拥有 GitHub Advanced Security 许可证的组织所拥有的专用存储库。 有关详细信息,请参阅“关于 GitHub 高级安全性”。

关于大规模配置默认设置

通过 code scanning 的默认设置,可以快速保护整个组织的存储库中的代码。

可以使用标记为“代码安全性和分析”的组织设置页来为组织中符合默认设置的所有存储库启用 code scanning。 有关详细信息,请参阅“为组织中所有符合条件的存储库配置默认设置”。

还可以为单个存储库创建不同的默认设置配置。 有关在存储库级别配置默认设置的详细信息,请参阅“配置代码扫描的默认设置”。

对于不符合默认设置条件的存储库,可以在存储库级别或使用脚本在组织级别配置高级设置。 有关详细信息,请参阅“使用 CodeQL 大规模为代码扫描配置高级设置”。

符合 CodeQL 大规模默认设置条件的存储库

存储库必须满足以下所有条件才能使用默认设置,否则需要使用高级设置。

  • Code scanning 尚未启用。
  • GitHub Actions 已启用。
  • 使用任何 CodeQL 支持的语言。
  • 公开可见。

关于向现有默认设置配置添加语言

如果存储库中的代码更改为包含 CodeQL 支持的语言 GitHub 会自动更新 code scanning 配置以包含新的语言。 如果 code scanning 因新配置而失败,GitHub 将自动恢复以前的配置,因此存储库不会失去 code scanning 覆盖范围。

为组织中所有符合条件的存储库配置默认设置

通过组织设置的“代码安全性和分析”页,可以为组织中所有符合条件的存储库启用默认设置。 有关存储库资格的详细信息,请参阅“符合 CodeQL 大规模默认设置条件的存储库”。

  1. 单击你的个人资料照片,然后单击“组织”。
  2. 单击组织旁边的“设置”。
  3. 单击“代码安全和分析”。
  4. 单击“Code scanning”旁边的“全部启用”。
  5. 在显示的“启用 code scanning 默认设置”对话框中的“查询套件”部分中,选择将运行默认设置配置的查询套件。 有关详细信息,请参阅“内置 CodeQL 查询套件”。
  6. 若要启用默认设置的配置,请单击“为符合条件的存储库启用”。
  7. (可选)若要在启用默认设置时在整个组织中推荐“扩展”查询套件,请选择“为启用默认设置的存储库图鉴扩展查询套件”。

注意:

  • 如果为所有存储库禁用 CodeQL code scanning,则此更改不会反映在组织的安全概述中显示的覆盖范围信息中。 存储库在“安全覆盖范围”视图中仍将显示为已启用 code scanning。
  • 为组织中的所有符合条件的存储库启用 code scanning 不会覆盖现有的 code scanning 配置。 若需了解如何为特定存储库配置不同设置的默认设置,请参阅“配置代码扫描的默认设置”。