Introducción
Imagine que es desarrollador con permisos de administrador para un repositorio de GitHub. Quiere automatizar las comprobaciones de seguridad. Estos pasos le ayudarán a analizar sus lanzamientos para detectar cualquier vulnerabilidad. Afortunadamente, su organización compró GitHub Advanced Security. La licencia de Seguridad avanzada de GitHub le permite realizar estas tareas mediante CodeQL.
CodeQL es una herramienta para analizar el código en el repositorio de GitHub e identificar vulnerabilidades de seguridad. Está disponible para repositorios públicos y repositorios privados que posee su organización. CodeQL admite muchos lenguajes para el análisis, como C/C++, Java y Python.
Objetivos de aprendizaje
En este módulo, aprenderá a:
- Instale la interfaz de línea de comandos (CLI) de CodeQL desde la página de lanzamientos de CodeQL en GitHub.
- Cree una base de datos mediante CodeQL para extraer una única representación relacional de cada archivo de origen en el código base.
- Ejecute CodeQL en una base de datos para encontrar problemas en el código fuente y encontrar posibles vulnerabilidades de seguridad.
- Analice los resultados del examen de CodeQL mediante consultas creadas por GitHub o sus propias consultas personalizadas.