はじめに
CodeQL を使用するコード スキャンは、組織の GitHub リポジトリ全体の脆弱性スキャンを自動化する、拡張可能な方法です。 コードのセキュリティ ニーズを満たすためにコード スキャンを最適な状態で実装するには、ツールのしくみとその機能を理解することが重要です。 また、コード スキャンを正しく構成および展開するのを支援するために、さまざまな構成オプションや、コード スキャン パイプラインを実装して保守する方法も理解しておく必要があります。
このモジュールでは、CodeQL 静的分析ツールについて、および GitHub のコード スキャン機能でそれをどのように使用して脆弱性スキャンを自動化するかについて確認します。 また、CodeQL を使用するコード スキャン ワークフローをカスタマイズする方法、追加のクエリを含める方法、複数の言語を含むリポジトリに合わせてワークフローを調整する方法についても説明します。
学習の目的
このモジュールを完了すると、次のことができるようになります。
- CodeQL とそれによるコードの分析方法を理解する。
- 独自のロジック プログラミング言語である QL について理解する。
- GitHub リポジトリで CodeQL ベースのコード スキャンを設定する。
- カスタム CodeQL クエリを参照する。
- CodeQL ワークフローで言語マトリックスを構成する。
- CodeQL CLI を使用してコード スキャンの結果を生成し、それらを GitHub にアップロードする方法を学習する。
- カスタム ビルド ステップを実装する。
前提条件
- GitHub Advanced Security ライセンスを持つ GitHub エンタープライズ アカウント
- リポジトリを管理するために必要なアクセス許可
- GitHub Advanced Security のコード スキャン機能に関する知識
- GitHub Actions に関する知識