Zusammenfassung
In diesem Modul haben Sie Folgendes gelernt:
- Die Codeüberprüfung mit CodeQL kann mithilfe der Erweiterten Setup-Workflowdatei angepasst werden, die den Speicherort von Abfragen angibt, welche Sprachen analysiert werden sollen und ob sie mit AutoBuild- oder manuellen Buildschritten erstellt werden sollen.
- GitHub unterstützt die Integration von Überprüfungs- und Warnungstools von Drittanbietern in den Codeüberprüfungsprozess.
- CodeQL verfügt über eine CLI, mit der Sie Datenbanken offline erstellen und analysieren und die Ergebnisse dann mithilfe einer SARIF-Datei auf GitHub hochladen können.
Ohne Die Verwendung von GitHub-Codescans mit CodeQL wäre es schwierig, sowohl das Scannen Ihres Codes zu automatisieren als auch Pullanforderungen zu generieren, um den anfälligen Code zu beheben. Darüber hinaus bietet CodeQL eine umfangreiche, wachsende Bibliothek von Abfragen in mehreren Sprachen, mit denen Sie mit geringem Entwicklungsaufwand sichereren Code erstellen können.