Einführung
Die Codeüberprüfung mithilfe von CodeQL bietet eine erweiterbare Methode zum Automatisieren der Sicherheitsrisikoüberprüfung in den GitHub-Repositorys Ihrer Organisation. Es ist wichtig zu verstehen, wie das Tool funktioniert und welche Features es bietet, um die Codeüberprüfung am besten zu implementieren und die Sicherheitsanforderungen Ihres Codes zu erfüllen. Außerdem müssen Sie die verschiedenen Konfigurationsoptionen kennen und wissen, wie Sie eine Codeüberprüfungspipeline implementieren und verwalten, um die Codeüberprüfung ordnungsgemäß zu konfigurieren und bereitzustellen.
In diesem Modul erfahren Sie mehr über das statische CodeQL-Analysetool und darüber, wie das Codeüberprüfungsfeature in GitHub dieses verwendet, um die Überprüfung auf Sicherheitsrisiken zu automatisieren. Außerdem erfahren Sie, wie Sie einen Codeüberprüfungsworkflow anpassen, der CodeQL verwendet, wie Sie zusätzliche Abfragen einschließen und wie Sie Ihren Workflow an Repositorys mit mehreren Sprachen anpassen.
Lernziele
In diesem Modul lernen Sie Folgendes:
- Verstehen Sie CodeQL und wie es Code analysiert.
- Verstehen von QL, einer einzigartigen Logikprogrammiersprache.
- Einrichten von CodeQL-basierten Codescans in einem GitHub-Repository.
- Verweisen auf eine benutzerdefinierte CodeQL-Abfrage.
- Konfigurieren der Sprachmatrix in einem CodeQL-Workflow.
- Erfahren Sie, wie Sie die CodeQL CLI verwenden, um Codescanergebnisse zu generieren und in GitHub hochzuladen.
- Implementieren benutzerdefinierter Buildschritte.
Voraussetzungen
- Ein GitHub Enterprise-Konto mit einer GitHub Advanced Security-Lizenz
- Erforderliche Berechtigungen zum Verwalten Ihres Repositorys
- Kenntnisse der Codescanfunktion von GitHub Advanced Security
- Kenntnisse zu GitHub Actions