Introduzione
Si supponga di essere uno sviluppatore con autorizzazioni di amministratore per un repository GitHub. Si vuole automatizzare i controlli di sicurezza. Questi passaggi consentono di analizzare le versioni per individuare eventuali vulnerabilità. Fortunatamente, l'organizzazione ha acquistato GitHub Advanced Security. La licenza di GitHub Advanced Security consente di eseguire queste attività usando CodeQL.
CodeQL è uno strumento per analizzare il codice nel repository GitHub e identificare le vulnerabilità di sicurezza. È disponibile per i repository pubblici e i repository privati di cui l'organizzazione è proprietaria. CodeQL supporta molti linguaggi per l'analisi, tra cui C/C++, Java e Python.
Obiettivi di apprendimento
In questo modulo si eseguiranno le seguenti attività:
- Installare l'interfaccia della riga di comando codeQL dalla pagina per le versioni di GitHub CodeQL.
- Creare un database usando CodeQL per estrarre una singola rappresentazione relazionale di ogni file di origine nella codebase.
- Eseguire CodeQL in un database per individuare i problemi nel codice sorgente e individuare potenziali vulnerabilità di sicurezza.
- Analizza i risultati della scansione CodeQL utilizzando query create da GitHub o le tue query personalizzate.