代码扫描的默认设置优先于高级设置

您在安全配置中选择“启用且允许高级设置”,但在某些仓库中,现有的代码扫描高级设置被忽略。

谁可以使用此功能?

组织所有者、安全管理员以及拥有 admin 角色的组织成员

本文内容

关于此问题

当您应用安全配置且代码扫描被定义为“启用且允许高级设置”时,会检查每个仓库是否存在已激活的高级设置。

  • 代码扫描保持不变,如果检测到已激活的高级设置配置。
  • 启用默认设置,对于高级设置未激活或不存在的仓库。

未激活或不存在的高级设置

如果仓库符合以下任一条件,则视为高级设置未激活

  • 最近一次 CodeQL 分析已超过 90 天。
  • 所有 CodeQL 配置均已删除。
  • 工作流文件已被删除或禁用(仅针对使用 Actions 运行的高级设置)。

解决此问题

此解决方案包含两个部分

  1. 对任何意外应用默认代码扫描设置的仓库,需要在小于 90 天的间隔内运行 CodeQL 分析,例如每月一次。

    即使仓库未处于活跃开发中,CodeQL 分析的更新仍可能发现新的漏洞。

  2. 在受影响的所有仓库均运行 CodeQL 分析后,即可重新应用安全配置。

© . This site is unofficial and not affiliated with GitHub, Inc.