Знакомство
Представьте, что вы разработчик с разрешениями администратора для репозитория GitHub. Вы хотите автоматизировать проверки безопасности. Эти шаги помогут вам проанализировать ваши релизы на уязвимости. К счастью, ваша организация приобрела GitHub Advanced Security. Лицензия GitHub Advanced Security позволяет выполнять эти задачи с помощью CodeQL.
CodeQL — это средство для анализа кода в репозитории GitHub и выявления уязвимостей безопасности. Он доступен для общедоступных репозиториев и частных репозиториев, принадлежащих вашей организации. CodeQL поддерживает множество языков для анализа, включая C/C++, Java и Python.
Цели обучения
В этом модуле вы будете:
- Установите интерфейс командной строки CodeQL (CLI) со страницы выпусков GitHub CodeQL.
- Создайте базу данных с помощью CodeQL для извлечения одного реляционного представления каждого исходного файла в базе кода.
- Запустите CodeQL в базе данных, чтобы найти проблемы в исходном коде и найти потенциальные уязвимости безопасности.
- Анализ результатов сканирования CodeQL с помощью созданных GitHub запросов или собственных пользовательских запросов.