Resumo
Neste módulo, você aprendeu a:
- A verificação de código com CodeQL pode ser personalizada usando o arquivo de fluxo de trabalho de instalação avançada que especifica o local das consultas, quais idiomas analisar e se elas devem ser criadas com etapas de compilação manual ou de preenchimento automático.
- O GitHub dá suporte à integração de ferramentas de verificação e de alertas de terceiros no processo de verificação de código.
- O CodeQL tem uma CLI que permite criar e analisar bancos de dados offline e depois carregar os resultados no GitHub usando um arquivo SARIF.
Sem usar a verificação de código do GitHub com o CodeQL, seria difícil automatizar a verificação do código e gerar solicitações de pull para corrigir o código vulnerável. Além disso, o CodeQL oferece uma biblioteca abrangente e crescente de consultas em várias linguagens que ajudam você a criar um código mais seguro com poucas ações de engenharia.
Referências
Links de recursos
- Publicar e usar pacotes do CodeQL
- Usando a verificação de código com seu sistema de CI existente
- jhutchings1/Create-ActionsPRs
- nickliffen/ghas-enablement
- Criação de conjuntos de consultas CodeQL
- Validação de arquivos SARIF
- Linguagens com suporte pelo CodeQL
Fornecer comentários
Use este formulário de problema para fornecer comentários de conteúdo ou alterações sugeridas para este módulo do Microsoft Learn. O GitHub mantém esse conteúdo e um membro da equipe fará a triagem da solicitação. Obrigado por dedicar um tempo para melhorar nosso conteúdo!