สรุป

เสร็จสมบูรณ์เมื่อ

ในมอดูลนี้ เราได้เรียนรู้ว่า:

• การสแกนโค้ดด้วย CodeQL สามารถกําหนดเองได้โดยใช้ไฟล์เวิร์กโฟลว์การตั้งค่าขั้นสูงที่ระบุตําแหน่งที่ตั้งของคิวรี ภาษาที่จะวิเคราะห์ และดูว่าควรสร้างด้วยขั้นตอนการสร้างอัตโนมัติหรือด้วยตนเอง
• GitHub สนับสนุนการผสานรวมเครื่องมือการสแกนและการแจ้งเตือนของบุคคลที่สามในกระบวนการสแกนโค้ด
• CodeQL มี CLI ที่ช่วยให้คุณสามารถสร้างและวิเคราะห์ฐานข้อมูลแบบออฟไลน์ จากนั้นอัปโหลดผลลัพธ์ไปยัง GitHub โดยใช้ไฟล์ SARIF

โดยไม่ต้องใช้การสแกนรหัส GitHub ด้วย CodeQL จะยากต่อการทําให้ทั้งการสแกนโค้ดของคุณเป็นอัตโนมัติและสร้างคําขอดึงข้อมูลเพื่อแก้ไขรหัสที่เปราะบาง นอกจากนี้ CodeQL ยังมีไลบรารีของคิวรีที่ขยายใหญ่ขึ้นในหลายภาษาที่ช่วยให้คุณสร้างโค้ดที่ปลอดภัยมากขึ้นด้วยความพยายามด้านวิศวกรรมเพียงเล็กน้อย

อ้าง อิง

• รหัส GitHubQL
• สแกนรหัส GitHub

ลิงก์ทรัพยากร

1. เผยแพร่และใช้ชุด CodeQL
2. การใช้การสแกนโค้ดด้วย ระบบ CI ที่มีอยู่ของคุณ
3. jhutchings1/Create-ActionsPR
4. การเปิดใช้งาน nickliffen/ghas
5. การสร้างชุดคิวรี CodeQL
6. การตรวจสอบไฟล์ SARIF
7. ภาษาที่รองรับ CodeQL

ให้คําติชม

ใช้ ฟอร์มปัญหา นี้เพื่อให้คําติชมเนื้อหาหรือการเปลี่ยนแปลงที่แนะนําสําหรับโมดูล Microsoft Learn นี้ GitHub จะดูแลเนื้อหานี้และสมาชิกในทีมจะคัดแยกคําขอ ขอขอบคุณที่สละเวลาในการปรับปรุงเนื้อหาของเรา!