Zusammenfassung
In diesem Modul haben Sie Folgendes gelernt:
- Die Codeüberprüfung mit CodeQL kann mithilfe der Erweiterten Setup-Workflowdatei angepasst werden, die den Speicherort von Abfragen angibt, welche Sprachen analysiert werden sollen und ob sie mit AutoBuild- oder manuellen Buildschritten erstellt werden sollen.
- GitHub unterstützt die Integration von Überprüfungs- und Warnungstools von Drittanbietern in den Codeüberprüfungsprozess.
- CodeQL verfügt über eine CLI, mit der Sie Datenbanken offline erstellen und analysieren und die Ergebnisse dann mithilfe einer SARIF-Datei auf GitHub hochladen können.
Ohne Die Verwendung von GitHub-Codescans mit CodeQL wäre es schwierig, sowohl das Scannen Ihres Codes zu automatisieren als auch Pullanforderungen zu generieren, um den anfälligen Code zu beheben. Darüber hinaus bietet CodeQL eine umfangreiche, wachsende Bibliothek von Abfragen in mehreren Sprachen, mit denen Sie mit geringem Entwicklungsaufwand sichereren Code erstellen können.
Literaturverzeichnis
Links zu weiterführenden Informationen
- Veröffentlichen und Verwenden von CodeQL-Paketen
- Code-Scanning mit Ihrem vorhandenen CI-System verwenden
- jhutchings1/Create-ActionsPRs
- nickliffen/ghas-enablement
- Erstellen von CodeQL-Abfragesuites
- Überprüfen von SARIF-Dateien
- Von CodeQL unterstützte Sprachen
Feedback geben
Verwenden Sie dieses Problemformular , um Inhaltsfeedback oder vorgeschlagene Änderungen für dieses Microsoft Learn-Modul bereitzustellen. GitHub verwaltet diese Inhalte, und ein Teammitglied löscht die Anforderung. Vielen Dank, dass Sie sich die Zeit genommen haben, unsere Inhalte zu verbessern!