首次使用代码扫描时,您可能会使用默认设置。本指南介绍如何评估代码扫描的默认设置对您的工作效率,以及如果某些内容未按预期工作应采取的步骤。本指南还介绍了如果发现新的配置不符合您的特定用例,如何自定义代码扫描。
自定义代码扫描
首次配置默认设置后,或对代码进行初始分析后,您可以编辑默认设置将分析的语言以及分析期间运行的查询套件。default 查询套件包含一组精心设计的查询,用于查找最相关的安全问题,同时最大限度地减少误报结果。但是,您可以使用security-extended 套件运行其他查询,这些查询的精度略低。有关可用查询套件的更多信息,请参阅“CodeQL 查询套件”。
有关自定义默认设置的更多信息,请参阅“编辑默认设置的配置”。
使用高级设置
如果您发现仍然需要更精细地控制代码扫描,则可以使用高级设置。高级设置需要付出更多努力才能进行配置、自定义和维护,因此我们建议您首先启用默认设置。有关高级设置的更多信息,请参阅“配置代码扫描的高级设置”和“自定义代码扫描的高级设置”。
使用工具状态页面评估代码扫描
工具状态页面显示有关所有代码扫描工具的有用信息。您可以使用它来调查各个工具是否适用于某个仓库,仓库中的文件何时首次扫描和最近扫描,以及何时计划进行即将进行的扫描。它也是调试问题的有用起点。
使用工具状态页面,您可以以 CSV 格式下载代码扫描正在检查的规则列表。对于 CodeQL 等集成工具,您还可以查看更详细的信息,包括已扫描文件的百分比和具体的错误消息。
如果您发现默认设置未扫描所有文件,则可能需要自定义代码扫描。有关更多信息,请参阅本文中的“自定义代码扫描”。或者,如果其他内容未按预期工作,您可能会发现我们的专用故障排除文档很有用。有关更多信息,请参阅“代码扫描故障排除”。
有关工具状态页面的更多详细信息,请参阅“关于代码扫描的工具状态页面”。