Wprowadzenie
Wyobraź sobie, że jesteś administratorem usługi GitHub dla projektu i chcesz upewnić się, że kod nie zawiera żadnych luk w zabezpieczeniach ani błędów. Ręczne sprawdzanie bazy kodu może być bardzo czasochłonne, zwłaszcza jeśli jest duże. Twoja firma właśnie zakupiła licencję usługi GitHub Advanced Security, która pomaga zaoszczędzić czas i nakład pracy, umożliwiając korzystanie ze skanowania kodu. Podczas skanowania kodu są wyświetlane alerty wskazujące dowolny problematyczny kod. Następnie możesz szybko znaleźć obszary problemów i wprowadzić niezbędne zmiany. Aby włączyć skanowanie kodu, musisz wiedzieć, jakie narzędzia są dostępne i jakie są ich funkcje. Musisz również zrozumieć, jak często wykonywać skanowanie kodu i typy zdarzeń, których można użyć do wyzwalania skanowania.
Ten moduł zawiera wprowadzenie do skanowania kodu i jego funkcji. Dowiesz się, jak zaimplementować skanowanie kodu przy użyciu języka CodeQL, narzędzi innych firm i funkcji GitHub Actions. Poznasz również różne sposoby konfigurowania skanowania kodu w celu zoptymalizowania środowiska.
Cele szkolenia
Po ukończeniu tego modułu będziesz mieć następujące umiejętności:
- Opisz skanowanie kodu.
- Wyświetl listę kroków włączania skanowania kodu w repozytorium.
- Wyświetl listę kroków umożliwiających skanowanie kodu przy użyciu analizy innej firmy.
- Porównanie sposobu implementowania analizy CodeQL w przepływie pracy funkcji GitHub Actions w porównaniu z narzędziem ciągłej integracji innej firmy.
- Wyjaśnij, jak skonfigurować skanowanie kodu w repozytorium przy użyciu zdarzeń wyzwalających.
- Porównaj częstotliwość przepływów pracy skanowania kodu (zaplanowane a wyzwalane przez zdarzenia).
Wymagania wstępne
- Konto usługi GitHub
- Znajomość zarządzania ustawieniami administracyjnymi usługi GitHub
- Podstawowa wiedza na temat funkcji GitHub Actions