Introdução
A verificação de código usando o CodeQL fornece um método extensível para automatizar a verificação de vulnerabilidades nos repositórios do GitHub da sua organização. É importante entender como a ferramenta funciona e quais são seus recursos para implementar da melhor forma a verificação de código para atender às necessidades de segurança do seu código. Você também precisará entender as várias opções de configuração e como implementar e manter um pipeline de verificação de código para configurar e implantar a verificação de código corretamente.
Neste módulo, analisamos a ferramenta de análise estática CodeQL e como o recurso de verificação de código no GitHub a utiliza para automatizar a verificação de vulnerabilidades. Também aprenderemos como personalizar um fluxo de trabalho de verificação de código que usa o CodeQL, como incluir consultas adicionais e como adaptar seu fluxo de trabalho a repositórios que têm várias linguagens.
Objetivos do aprendizado
Ao final deste módulo, você saberá como:
- Entenda o CodeQL e como ele analisa códigos.
- Entenda o QL, uma linguagem de programação lógica única.
- Configure a verificação de código baseada em CodeQL em um repositório GitHub.
- Referencie uma consulta CodeQL personalizada.
- Configure a matriz de linguagem em um fluxo de trabalho CodeQL.
- Saiba como usar a CLI do CodeQL para gerar resultados de verificação de código e carregá-los no GitHub.
- Implemente etapas de compilação personalizadas.
Pré-requisitos
- Uma conta corporativa do GitHub com uma licença de Segurança Avançada do GitHub
- Permissões necessárias para administrar seu repositório
- Conhecimento do recurso de verificação de código da Segurança Avançada do GitHub
- Conhecimento do GitHub Actions