Riepilogo
Contenuto del modulo:
- L'analisi del codice con CodeQL può essere personalizzata usando il file del flusso di lavoro di installazione avanzata che specifica il percorso delle query, quali linguaggi analizzare e se devono essere compilati con la compilazione automatica o i passaggi di compilazione manuale.
- GitHub supporta l'integrazione di strumenti di analisi e generazione di avvisi di terze parti nel processo di analisi del codice.
- CodeQL ha un'interfaccia della riga di comando che consente di creare e analizzare database offline e quindi caricare i risultati in GitHub usando un file SARIF.
Senza usare l'analisi del codice GitHub con CodeQL, sarebbe difficile automatizzare sia l'analisi del codice che la generazione di richieste pull per correggere il codice vulnerabile. CodeQL fornisce inoltre una libreria ampia e in continua crescita di query in più linguaggi, che consentono di creare codice più sicuro con poco lavoro richiesto per la progettazione.
Riferimenti
Collegamenti alle risorse
- Pubblicazione e uso di pacchetti CodeQL
- Uso dell'analisi del codice con il sistema di CI esistente
- jhutchings1/Create-ActionsPRs
- nickliffen/ghas-enablement
- Creazione di gruppi di query CodeQL
- Convalida dei file SARIF
- Linguaggi supportati da CodeQL
Inviare commenti
Usa questo modulo di problema per fornire commenti e suggerimenti sul contenuto o le modifiche suggerite per questo modulo di Microsoft Learn. GitHub gestisce questo contenuto e un membro del team valuta la richiesta. Grazie per il tempo dedicato al miglioramento dei nostri contenuti!