Pengantar
Bayangkan Anda adalah administrator GitHub untuk proyek, dan Anda ingin memastikan bahwa kode tidak menyertakan kerentanan atau kesalahan keamanan apa pun. Mungkin sangat memakan waktu untuk memeriksa basis kode Anda secara manual, terutama jika besar. Perusahaan Anda baru saja membeli lisensi GitHub Advanced Security yang membantu menghemat waktu dan upaya dengan memungkinkan Anda menggunakan pemindaian kode. Dengan pemindaian kode, Anda menerima pemberitahuan yang menunjukkan kode yang bermasalah. Kemudian, Anda dapat dengan cepat menemukan area masalah dan membuat perubahan yang diperlukan. Untuk mengaktifkan pemindaian kode, Anda perlu mengetahui alat apa yang tersedia dan fiturnya. Anda juga perlu memahami seberapa sering melakukan pemindaian kode dan jenis peristiwa yang dapat Anda gunakan untuk memicu pemindaian.
Modul ini memperkenalkan Anda pada pemindaian kode dan fitur-fiturnya. Anda akan mempelajari cara menerapkan pemindaian kode menggunakan CodeQL, alat pihak ketiga, dan GitHub Actions. Anda juga akan belajar tentang berbagai cara Anda dapat mengonfigurasi pemindaian kode untuk mengoptimalkan pengalaman Anda.
Tujuan Pembelajaran
Setelah menyelesaikan modul ini, Anda dapat:
- Jelaskan tentang pemindaian kode.
- Cantumkan langkah-langkah untuk mengaktifkan pemindaian kode di repositori.
- Cantumkan langkah-langkah untuk mengaktifkan pemindaian kode dengan analisis pihak ketiga.
- Bandingkan bagaimana menerapkan analisis CodeQL dalam alur kerja GitHub Actions dibandingkan dengan alat integrasi berkelanjutan (CI) pihak ketiga.
- Jelaskan cara mengonfigurasi pemindaian kode pada repositori menggunakan peristiwa pemicu.
- Kontras frekuensi alur kerja pemindaian kode (dijadwalkan vs dipicu oleh peristiwa).
Prasyarat
- Akun GitHub
- Pemahaman tentang mengelola pengaturan administratif GitHub
- Pengetahuan dasar tentang GitHub Actions