はじめに
GitHub リポジトリの管理者権限を持つ開発者であるとします。 セキュリティ チェックを自動化する必要があります。 これらの手順は、脆弱性のリリースを分析するのに役立ちます。 幸いなことに、組織は GitHub Advanced Security を購入しました。 GitHub Advanced Security ライセンスを使用すると、CodeQL を使用してこれらのタスクを実行できます。
CodeQL は、GitHub リポジトリ内のコードを分析し、セキュリティの脆弱性を特定するためのツールです。 これは、組織が所有するパブリック リポジトリとプライベート リポジトリで使用できます。 CodeQL では、C/C++、Java、Python など、分析用の多くの言語がサポートされています。
学習目標
このモジュールでは、次の操作を行います。
- GitHub CodeQL リリースのページから CodeQL コマンド ライン インターフェイス (CLI) をインストールします。
- CodeQL を使用してデータベースを作成し、コードベース内の各ソース ファイルの 1 つのリレーショナル表現を抽出します。
- データベースで CodeQL を実行して、ソース コードの問題を見つけ、潜在的なセキュリティの脆弱性を見つけます。
- GitHub で作成されたクエリまたは独自のカスタム クエリを使用して CodeQL スキャン結果を分析します。