Présentation
L’analyse du code à l’aide de CodeQL fournit une méthode extensible pour automatiser l’analyse des vulnérabilités dans les référentiels GitHub de votre organisation. Il est important de comprendre le fonctionnement de l’outil et ses fonctionnalités afin de mieux implémenter l’analyse du code pour répondre aux besoins de sécurité de votre code. Vous devrez également comprendre les différentes options de configuration et savoir comment implémenter et maintenir un pipeline d’analyse du code pour configurer et déployer correctement l’analyse du code.
Dans ce module, nous allons passer en revue l’outil d’analyse statique CodeQL et voir comment la fonction d’analyse du code de GitHub s’en sert pour automatiser l’analyse des vulnérabilités. Nous apprendrons également à personnaliser un workflow d’analyse de code qui utilise CodeQL, à inclure des requêtes supplémentaires et à adapter un workflow aux référentiels ayant plusieurs langages.
Objectifs d’apprentissage
À la fin de ce module, vous saurez effectuer les opérations suivantes :
- Comprendre CodeQL et comment il analyse le code.
- Comprendre QL, un langage de programmation logique unique.
- Configurer l’analyse du code basée sur CodeQL dans un dépôt GitHub.
- Référencer une requête CodeQL personnalisée.
- Configurer la matrice de langages dans un workflow CodeQL.
- Découvrir comment utiliser l’interface CLI de CodeQL pour générer des résultats d’analyse du code et les charger sur GitHub.
- Implémenter des étapes de build personnalisées.
Prérequis
- Compte d’entreprise GitHub avec une licence GitHub Advanced Security
- Autorisations nécessaires pour administrer votre référentiel
- Connaissance de la fonctionnalité d'analyse du code de GitHub Advanced Security
- Connaissance de GitHub Actions