Introdução
Imagine que você é um desenvolvedor com permissões de administrador para um repositório GitHub. Você deseja automatizar as verificações de segurança. Essas etapas ajudam você a analisar suas versões em busca de vulnerabilidades. Felizmente, sua organização comprou o GitHub Advanced Security. Sua licença de Segurança Avançada do GitHub permite que você realize essas tarefas usando o CodeQL.
O CodeQL é uma ferramenta para analisar o código em seu repositório GitHub e identificar vulnerabilidades de segurança. Ele está disponível para repositórios públicos e repositórios privados que sua organização possui. O CodeQL dá suporte a vários idiomas para análise, incluindo C/C++, Java e Python.
Objetivos de aprendizagem
Neste módulo, você vai:
- Instale a CLI (interface de linha de comando) do CodeQL na página para versões do GitHub CodeQL.
- Crie um banco de dados usando CodeQL para extrair uma única representação relacional de cada arquivo de origem na base de código.
- Execute o CodeQL em um banco de dados para encontrar problemas no código-fonte e encontrar possíveis vulnerabilidades de segurança.
- Analise os resultados da verificação do CodeQL usando consultas criadas pelo GitHub ou suas próprias consultas personalizadas.