既定設定の構成を編集する

既定のセットアップでコードの初期分析を実行した後、ニーズに合わせて構成を変更できます。コードスキャンのセットアップの種類についておよび code scanning のリポジトリのプロパティを参照してください。

既定設定の既存構成をカスタマイズする

GitHub で、リポジトリのメインページに移動します。
リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウンメニューを選び、 [設定] をクリックします。
サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。
[CodeQL] セクションの [Code Security分析] 行で、を選択し、[構成の表示] CodeQL クリックします。
[既定の構成CodeQL] ウィンドウで、[編集クリックします。
必要に応じて、[言語] セクションで、分析用の言語を選択または選択解除します。
必要に応じて、[設定をスキャン] セクションの [クエリスイート] 行で、コードに対して実行する別のクエリスイートを選択します。
必要に応じて、ラベル付きランナーを使用するには、[CodeQL 既定の構成] モーダルダイアログの [ランナーの種類] セクションで [ 標準 GitHub ランナー を選択してドロップダウンメニューを開き、[ ラベル付きランナー] を選択します。次に、[ランナーラベル] の横に、既存のセルフホステッドランナーまたは GitHub ホステッドランナーのラベルを入力します。詳細については、「コードスキャンの既定セットアップの構成」を参照してください。
(パブリックプレビュー) 必要に応じて、[スキャン設定] セクションの [脅威モデル] 行で、 リモートソースとローカルソースを選択します。このオプションは、サポートされている言語 ( Java/Kotlin と C#) のコードを含むリポジトリでのみ使用できます。
構成を更新し、新しい構成でコードの初期分析を実行するために、[変更を保存] をクリックします。今後のすべての分析では、新しい構成が使用されます。

pull request チェックエラーの原因となるアラートの重大度を定義する

ルールセットを使用すると、次のいずれかの条件が満たされたときにプル要求がマージされないようにできます。

必要なツールは、ルールセットで定義されている重大度の code scanning アラートを検索します。
必要なツールの分析はまだ進行中です。
リポジトリに必要なツールが構成されていません。

詳細については、「コードスキャンのマージ保護を設定します」を参照してください。ルールセットの一般情報については、「AUTOTITLE」を参照してください。

既定設定に汚染されたデータのローカルソースを含める

メモ

脅威モデルは現在パブリックプレビュー段階であり、変更される可能性があります。パブリックプレビュー期間中、脅威モデルは Java/Kotlin と C# 解析でのみサポートされます。

コードベースが、リモートネットワークリクエストのみを汚染データの潜在的なソースと見なす場合、デフォルトの脅威モデルを使用することをお勧めします。コードベースで、ネットワーク要求以外のソースにテイントされたデータが含まれている可能性があると見なされる場合は、脅威モデルを使用して、これらの追加のソースを CodeQL 分析に追加できます。パブリックプレビュー中に、コードベースがテイントされたデータの追加ソースと見なすローカルソース (コマンドライン引数、環境変数、ファイルシステム、データベースなど) を追加できます。

既定設定構成で使用される脅威モデルを編集できます。詳細については、「既定設定の既存構成をカスタマイズする」を参照してください。

既定のセットアップでCodeQL モデルパックを使用してCodeQLカバレッジを拡張する

メモ

CodeQL モデルパックは現在パブリックプレビュー段階であり、変更される可能性があります。モデルパックは C/C++、C#、Java/Kotlin、Python、Ruby、Rust 分析でサポートされます。

CodeQL 用 CodeQL 拡張機能の Visual Studio Code モデルエディターでは、C#、Java/Kotlin、Python、Ruby に対する依存関係のモデリングがサポートされています。

エンタープライズがGitHub.comでホストされていて、に含まれる標準ライブラリで認識されないフレームワークとライブラリを使用CodeQL場合は、依存関係をモデル化し、code scanning分析を拡張できます。詳細については、のドキュメントでCodeQLを参照してください。

既定のセットアップでは、モデルパックで追加の依存関係のモデル CodeQL 定義する必要があります。既定のセットアップでは、個々のリポジトリの CodeQL モデルパックを使用するか、組織内のすべてのリポジトリに対して大規模にカバレッジを拡張できます。

CodeQLモデルパックと独自のモデルパックの記述の詳細については、CodeQL モデルエディターの使用を参照してください。

リポジトリの対象範囲を拡張する

リポジトリの .github/codeql/extensions ディレクトリで、分析に含めるライブラリやフレームワーク用の追加モデルを含む codeql-pack.yml ファイルおよび .yml ファイルが含まれるモデルパックディレクトリをコピーします。
モデルパックは自動的に検出され、 code scanning 分析で使用されます。
後で高度な設定を使用するように構成を変更した場合、.github/codeql/extensions ディレクトリ内のすべてのモデルパックは引き続き認識され、使用されます。

組織内のすべてのリポジトリの対象範囲を拡張する

メモ

組織内のすべてのリポジトリのCodeQL モデルパックを使用してカバレッジを拡張する場合、指定するモデルパックは、GitHubContainer registryに関連付けられているコンテナーレジストリに発行し、code scanning実行するリポジトリからアクセスできる必要があります。詳細については、「コンテナレジストリの利用」を参照してください。

GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。
Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウンメニューを選び、 [設定] をクリックします。
サイドバーの [Security] セクションで、 [Advanced Security]、[Global settings] の順にクリックします。
[Code scanning] セクションを見つけます。
[ CodeQL 分析の展開] の横にある [ 構成] をクリックします。
使用する公開済みモデルパックへの参照を、1 行に 1 つずつ入力し、[保存] をクリックします。
モデルパックは、既定のセットアップが有効になっている組織内の任意のリポジトリで code scanning が実行されるときに自動的に検出され、使用されます。

非アクティブなリポジトリのスキャンを継続する

By default, code scanning default setup pauses weekly scheduled scans on repositories that have had no commits pushed or pull requests opened for 180 days. スキャン期間は構成できませんが、組織内でこの動作をオーバーライドできます。

GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。
Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウンメニューを選び、 [設定] をクリックします。
サイドバーの [Security] セクションで、 [Advanced Security]、[Global settings] の順にクリックします。
[Code scanning] セクションで、[ 非アクティブなリポジトリのスケジュールされたスキャンを 30 日ごとに実行する ] 設定を有効にします。

その他のカスタマイズ

code scanning構成のその他の側面を変更する必要がある場合は、詳細設定の構成を検討してください。「コードスキャンの詳細設定を構成する」を参照してください。

この機能を使用できるユーザーについて

この記事で