Podsumowanie
W tym module przedstawiono następujące informacje:
- Skanowanie kodu za pomocą języka CodeQL można dostosować przy użyciu zaawansowanego pliku przepływu pracy konfiguracji, który określa lokalizację zapytań, które języki mają być analizowane i czy powinny być tworzone za pomocą autobuild, czy ręcznych kroków kompilacji.
- Usługa GitHub obsługuje integrację narzędzi do skanowania i alertów innych firm w procesie skanowania kodu.
- CodeQL ma interfejs wiersza polecenia, który umożliwia tworzenie i analizowanie baz danych w trybie offline, a następnie przekazywanie wyników do usługi GitHub przy użyciu pliku SARIF.
Bez korzystania ze skanowania kodu w usłudze GitHub przy użyciu języka CodeQL trudno byłoby zautomatyzować zarówno skanowanie kodu, jak i generowanie żądań ściągnięcia w celu naprawienia kodu podatnego na zagrożenia. Ponadto język CodeQL udostępnia obszerną, rozwijającą się bibliotekę zapytań w wielu językach, które ułatwiają tworzenie bezpieczniejszego kodu przy niewielkim wysiłku inżynieryjnym.
Informacje
Linki do zasobów
- Publikowanie i używanie pakietów CodeQL
- Używanie skanowania kodu z istniejącym systemem CI
- jhutchings1/Create-ActionsPRs
- nickliffen/ghas-enablement
- Tworzenie zestawów zapytań CodeQL
- Weryfikowanie plików SARIF
- Języki obsługiwane przez język CodeQL
Prześlij opinię
Użyj tego formularza problemu , aby przekazać opinię na temat zawartości lub sugerowane zmiany dla tego modułu Microsoft Learn. GitHub utrzymuje tę zawartość, a członek zespołu przeanalizuje żądanie. Dziękujemy za poświęcenie czasu na ulepszenie naszej zawartości!