Introduzione
L'analisi del codice con CodeQL offre un metodo estendibile per automatizzare l'analisi delle vulnerabilità nei repository GitHub dell'organizzazione. È importante comprendere il funzionamento dello strumento e le relative funzionalità per implementare al meglio l'analisi del codice per soddisfare le esigenze di sicurezza del codice. È anche necessario comprendere le varie opzioni di configurazione e come implementare e gestire una pipeline di analisi del codice per configurare e distribuire correttamente l'analisi del codice.
In questo modulo viene esaminato lo strumento di analisi statica di CodeQL e sul modo in cui la funzionalità di analisi del codice in GitHub lo usa per automatizzare l'analisi delle vulnerabilità. Si apprenderà anche come personalizzare un flusso di lavoro di analisi del codice che usa CodeQL, come includere query aggiuntive e come adattare il flusso di lavoro ai repository con più linguaggi.
Obiettivi di apprendimento
Gli obiettivi del modulo sono:
- Informazioni su CodeQL e su come analizza il codice.
- Informazioni su QL, un linguaggio di programmazione della logica univoco.
- Configurare l'analisi del codice basata su CodeQL in un repository di GitHub.
- Fare riferimento a una query di CodeQL personalizzata.
- Configurare la matrice del linguaggio in un flusso di lavoro di CodeQL.
- Informazioni su come usare CodeQL CLI per generare risultati di analisi del codice e caricarli in GitHub.
- Implementare passaggi di compilazione personalizzati.
Prerequisiti
- Un account GitHub Enterprise con una licenza di GitHub Advanced Security
- Autorizzazioni necessarie per l'amministrazione del repository
- Conoscenza della funzionalità di analisi del codice di GitHub Advanced Security
- Conoscenza di GitHub Actions