Einleitung
Stellen Sie sich vor, Sie sind Entwickler mit Administratorberechtigungen für ein GitHub-Repository. Sie möchten Sicherheitsprüfungen automatisieren. Diese Schritte helfen Ihnen, Ihre Versionen für alle Sicherheitsrisiken zu analysieren. Glücklicherweise hat Ihre Organisation GitHub Advanced Security erworben. Mit Ihrer GitHub Advanced Security-Lizenz können Sie diese Aufgaben mithilfe von CodeQL ausführen.
CodeQL ist ein Tool zum Analysieren des Codes in Ihrem GitHub-Repository und zum Identifizieren von Sicherheitsrisiken. Es ist für öffentliche Repositorys und private Repositorys verfügbar, die Ihre Organisation besitzt. CodeQL unterstützt viele Sprachen für die Analyse, einschließlich C/C++, Java und Python.
Lernziele
In diesem Modul lernen Sie Folgendes:
- Installieren Sie die CodeQL-Befehlszeilenschnittstelle (CLI) von der GitHub CodeQL-Veröffentlichtungsseite.
- Erstellen Sie eine Datenbank mithilfe von CodeQL, um eine einzelne relationale Darstellung jeder Quelldatei in der Codebasis zu extrahieren.
- Führen Sie CodeQL in einer Datenbank aus, um Probleme im Quellcode zu finden und potenzielle Sicherheitsrisiken zu finden.
- Analysieren Sie CodeQL-Scanergebnisse mithilfe von GitHub erstellten Abfragen oder ihren eigenen benutzerdefinierten Abfragen.