当您首次使用代码扫描时,通常会使用默认设置。本指南描述了如何评估代码扫描默认设置的运行情况,以及当某些情况未如预期时应采取的步骤。本指南还说明了如果您有特定的使用场景而新的配置不适用,如何自定义代码扫描。
自定义代码扫描
当您首次配置默认设置,或在对代码进行首次分析后,您可以编辑默认设置将分析的语言以及分析期间运行的查询套件。default 查询套件包含一组精心设计的查询,旨在寻找最相关的安全问题,同时将误报率降至最低。不过,您也可以使用 security-extended 套件运行额外的查询,但其精确度略低。有关可用查询套件的更多信息,请参阅 CodeQL 查询套件。
有关自定义默认设置的更多信息,请参阅 编辑默认设置的配置。
使用高级设置
如果您仍然需要对代码扫描进行更细粒度的控制,可以使用高级设置。高级设置的配置、定制和维护需要投入大量工作,因此我们建议您首先启用默认设置。有关高级设置的更多信息,请参阅 配置代码扫描的高级设置 和 代码扫描的工作流配置选项。
使用工具状态页面评估代码扫描
工具状态页面显示有关所有代码扫描工具的有用信息。您可以使用它来检查单个工具在仓库中的工作情况、仓库中文件的首次扫描时间和最近一次扫描时间,以及即将进行的扫描安排。它也是调试问题的有用起点。
通过工具状态页面,您可以以 CSV 格式下载代码扫描所检查的规则列表。对于像 CodeQL 这样的集成工具,您还可以查看更详细的信息,包括已扫描文件的百分比和具体错误信息。
如果您发现默认设置未扫描所有文件,可能需要自定义代码扫描。更多信息,请参阅本文中的 自定义代码扫描。或者,如果其他方面未如预期工作,您可能会发现我们的专门故障排除文档有帮助。更多信息,请参阅 排查代码扫描分析错误。
有关工具状态页面的更详细信息,请参阅 使用工具状态页面进行代码扫描。