Como definir a configuração avançada da verificação de código com CodeQL em escala

Use um script para definir a configuração avançada da code scanning para um grupo específico de repositórios da sua organização.

Quem pode usar esse recurso?

Proprietários da organização, gerentes de segurança e membros da organização com a função de administrador

O Repositórios pertencentes à organização com GitHub Advanced Security habilitado

Neste artigo

Sobre como habilitar a configuração avançada da code scanning com o CodeQL em escala

Caso você precise definir uma configuração altamente personalizável da code scanning para muitos repositórios da sua organização ou se os repositórios da sua organização não forem qualificados para a configuração padrão, você pode habilitar a code scanning em escala com a configuração avançada.

Para habilitar a configuração avançada em vários repositórios, você pode escrever um script de configuração em massa. Para executar o script com sucesso, o GitHub Actions precisa estar habilitado para o site da .

Como alternativa, se você não precisar ter controle granular da configuração de code scanning para muitos repositórios da sua organização, é possível configurar com rapidez e facilidade a code scanning em escala com a configuração padrão. Para obter mais informações, confira "Como definir a configuração padrão da verificação de código em escala".

Usar um script para habilitar a configuração avançada

Para repositórios que não estão qualificados para a configuração padrão, você pode usar um script de configuração em massa para habilitar a configuração avançada em vários repositórios.

Identifique um grupo de repositórios que podem ser analisados usando a mesma configuração de code scanning. Por exemplo, todos os repositórios que criam artefatos Java usando o ambiente de produção.
Crie e teste um fluxo de trabalho do GitHub Actions para chamar a ação do CodeQL com a configuração apropriada. Para obter mais informações, confira "Como definir a configuração avançada para verificação de código".
Use um dos scripts de exemplo ou crie um script personalizado e adicionar o fluxo de trabalho a cada repositório no grupo.
- Exemplo do PowerShell: repositório jhutchings1/Create-ActionsPRs
- Exemplo do NodeJS: repositório nickliffen/ghas-enablement
- Exemplo do Python: repositório Malwarebytes/ghas-cli

Como estender CodeQL a cobertura com pacotes de modelos

Observação: os pacotes de modelos do CodeQL e o editor de modelos do CodeQL estão atualmente em beta e estão sujeitos a alterações. Os pacotes de modelo são compatíveis com a análise do C#, Java/Kotlin, e Ruby.

Se sua base de código depender de uma biblioteca ou estrutura que não seja reconhecida pelas consultas padrão no CodeQL, você poderá estender a cobertura do CodeQL no seu script de configuração em massa epecificando os pacotes de modelos do CodeQL publicados. Para obter mais informações, confira "Personalizando a configuração avançada para varredura de código".

Como alternativa, se você não precisar ter controle granular da configuração de code scanning para muitos repositórios da sua organização, é possível configurar com rapidez e facilidade pacotes de modelos com a code scanning em escala com a configuração padrão. Para obter mais informações, confira "Editar as definições da configuração padrão".