关于配置大规模默认设置
使用代码扫描的默认设置,您可以快速保护组织中代码库的代码安全。
您可以为组织中所有符合默认设置条件的代码库启用代码扫描。启用默认设置后,将扫描组织中代码库中使用 CodeQL 支持的语言编写的代码。
- 每次推送至代码库的默认分支或任何受保护的分支时。有关受保护分支的更多信息,请参阅“关于受保护分支”。
- 创建或提交基于代码库默认分支或任何受保护分支的拉取请求时,不包括来自fork的拉取请求。
- 按每周计划。
有关更多信息,请参阅“为组织中所有符合条件的代码库配置默认设置”。
您还可以为各个代码库创建不同的默认设置配置。有关在代码库级别配置默认设置的更多信息,请参阅“配置代码扫描的默认设置”。
对于不符合默认设置条件的代码库,您可以在代码库级别配置高级设置,或者使用脚本在组织级别配置高级设置。有关更多信息,请参阅“大规模配置使用 CodeQL 的代码扫描的高级设置”。
大规模 CodeQL 默认设置的符合条件的代码库
代码库必须满足以下所有条件才能符合默认设置,否则您需要使用高级设置。
- 代码扫描尚未启用。
- 已启用 GitHub Actions。
- 公开可见。
如果代码库将来有可能包含至少一种 CodeQL 支持的语言,我们建议您为符合条件的代码库启用默认设置。如果您在不包含任何 CodeQL 支持的语言的代码库上启用默认设置,则默认设置不会运行任何扫描或使用任何 GitHub Actions 分钟数。如果向代码库添加了 CodeQL 支持的语言,则默认设置将自动开始扫描 CodeQL 支持的语言并使用 GitHub Actions 分钟数。有关 CodeQL 支持的语言的更多信息,请参阅“关于使用 CodeQL 进行代码扫描”。
关于向现有的默认设置配置添加语言
如果代码库中的代码发生更改以包含 CodeQL 支持的语言,GitHub 将自动更新代码扫描配置以包含新语言。如果使用新配置的代码扫描失败,GitHub 将自动恢复以前的配置,以便代码库不会丢失代码扫描覆盖率。
为组织中所有符合条件的代码库配置默认设置
您可以为组织中所有符合条件的代码库启用默认设置。更多信息,请参见“大规模启用安全功能简介”。
扩展默认设置中的 CodeQL 代码覆盖范围
通过组织的安全设置页面,您可以使用模型包扩展组织中所有符合条件的代码库的默认设置中的代码覆盖范围。更多信息,请参见“编辑默认设置的配置”。