Resumen

Completado

En este módulo, hemos descubierto lo siguiente:

• El análisis de código con CodeQL se puede personalizar mediante el archivo de flujo de trabajo de configuración avanzada que especifica la ubicación de las consultas, qué lenguajes se van a analizar y si se deben compilar con pasos de compilación automática o manual.
• GitHub admite la integración de herramientas de examen y alertas de terceros en el proceso de examen de código.
• CodeQL tiene una CLI que permite crear y analizar bases de datos sin conexión y, después, cargar los resultados en GitHub mediante un archivo SARIF.

Sin usar el análisis de código de GitHub con CodeQL, sería difícil automatizar tanto el examen del código como la generación de solicitudes de incorporación de cambios para corregir el código vulnerable. Además, CodeQL proporciona una amplia y creciente biblioteca de consultas en varios lenguajes que le ayudan a crear código más seguro con poco esfuerzo de ingeniería.

Referencias

• GitHub CodeQL
• Examen de código de GitHub

Vínculos a recursos

1. Publicación y uso de paquetes de CodeQL
2. Uso del examen de código con el sistema de CI existente
3. jhutchings1/Create-ActionsPRs
4. nickliffen/ghas-enablement
5. Creación de conjuntos de consultas CodeQL
6. Validación de archivos SARIF
7. Lenguajes compatibles con CodeQL