Einführung
Stellen Sie sich vor, Sie sind gitHub-Administrator für ein Projekt, und Sie möchten sicherstellen, dass der Code keine Sicherheitsrisiken oder Fehler enthält. Es kann sehr zeitaufwändig sein, Ihre Codebasis manuell zu überprüfen, insbesondere, wenn diese groß ist. Ihr Unternehmen hat vor kurzem eine GitHub Advanced Security-Lizenz erworben, mit der Sie Zeit und Mühe sparen können, indem Sie Codescans verwenden. Beim Code-Scanning erhalten Sie Warnungen, die auf jeglichen problematischen Code hinweisen. Dann können Sie die Problembereiche schnell finden und die notwendigen Änderungen vornehmen. Um Codescans zu aktivieren, müssen Sie wissen, welche Tools verfügbar sind und welche Features diese aufweisen. Außerdem müssen Sie wissen, wie oft Codescans durchgeführt werden sollten und welche Ereignistypen zum Auslösen von Scans verwendet werden können.
Dieses Modul bietet eine Einführung in Codescans und die zugehörigen Features. Sie erfahren, wie Sie Codescans mit CodeQL, Drittanbietertools und GitHub Actions implementieren. Außerdem erfahren Sie mehr über die verschiedenen Möglichkeiten zum Konfigurieren von Codescans, um Ihre Benutzererfahrung zu optimieren.
Lernziele
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Beschreiben von Codescans.
- Auflisten der Schritte zum Aktivieren von Codescans in einem Repository.
- Auflisten der Schritte zum Aktivieren von Codescans mit drittanbieterbasierter Analyse.
- Vergleich zwischen der Implementierung von CodeQL-Analyse in einem GitHub Actions-Workflow und einem CI-Tool (Continuous Integration) eines Drittanbieters.
- Erläutern der Konfiguration von Codescans in einem Repository mithilfe von auslösenden Ereignissen.
- Vergleichen der Häufigkeit von Codescanworkflows (geplant und ausgelöst durch Ereignisse).
Voraussetzungen
- GitHub-Konto
- Vertrautheit mit der Verwaltung von administrativen GitHub-Einstellungen
- Grundlegende Kenntnisse zu GitHub Actions