まとめ

完了

このモジュールでは、次の内容を学習しました。

• クエリの場所、分析する言語、ビルド方法 (自動か手動) を指定するワークフロー ファイルを使用して、CodeQL によるコード スキャンをカスタマイズできます。
• GitHub では、コード スキャン プロセスにサードパーティ製のスキャン ツールとアラート ツールを統合できます。
• CodeQL には、データベースを作成してオフラインで分析し、SARIF ファイルを利用して結果を GitHub にアップロードできる CLI があります。

CodeQL による GitHub コード スキャンを使用しない場合、コード スキャンの自動化と、脆弱なコードを修復する pull request 生成の自動化の両方が難しくなるでしょう。 また、CodeQL では、増え続ける膨大なクエリ ライブラリが複数の言語で提供されます。少ないエンジニアリング労力で安全なコードをたくさん作成できます。

関連情報

• GitHub CodeQL
• GitHub コード スキャン

リソース リンク

1. CodeQL パックを発行して使用する
2. 既存の CI システムでコード スキャンを使用する
3. jhutchings1/Create-ActionsPRs
4. nickliffen/ghas-enablement
5. CodeQL クエリ スイートの作成
6. SARIF ファイルの検証
7. サポートされている CodeQL 言語