首次使用 code scanning时,可能会使用默认设置。 本指南介绍如何评估默认设置 code scanning 如何为你工作,以及如果某些内容无法按预期工作,需要执行哪些步骤。 本指南还介绍了在发现新配置不适合的特定用例时如何自定义 code scanning 。
定制 code scanning
首次配置默认设置时,或在对代码进行初始分析后,可以编辑默认设置将分析的语言以及在分析过程中运行的查询套件。 查询 default 套件包含一组精心设计的查询,旨在查找最相关的安全问题,同时最大限度地减少误报。 但是,可以使用 security-extended 套件运行其他查询,但精度略低。 有关可用查询套件的详细信息,请参阅“CodeQL 查询套件”。
有关自定义默认设置的详细信息,请参阅“编辑默认设置配置”。
使用高级设置
如果发现仍需要对 code scanning 更精细的控制,则可以使用高级设置。 高级设置需要在配置、自定义和维护上投入更多工作量,因此我们建议首先启用默认设置。 有关高级设置的详细信息,请参阅“配置代码扫描的高级设置”和“代码扫描的工作流配置选项”。
评估code scanning与工具状态页
其中 工具状态页 显示了有关所有 code scanning 工具的有用信息。 可以使用它查看各个工具是否适用于存储库,存储库中的文件首次扫描和最近扫描的时间,以及计划中的下次扫描时间。 这也是调试问题时一个有用的起点。
使用工具状态页,您可以下载code scanning用来检查的规则列表,格式为 CSV。 对于集成工具 CodeQL,还可以查看更多详细信息,包括扫描的文件百分比和特定错误消息。
如果发现默认设置未扫描所有文件,则可能需要自定义 code scanning。 有关详细信息,请参阅本文中的“自定义代码扫描”。 或者,如果其他内容不符合预期,你可能会发现我们的专用故障排除文档非常有用。 有关详细信息,请参阅“代码扫描分析错误疑难解答”。
有关此 工具状态页内容的详细信息,请参阅 使用工具状态页进行代码扫描。