使用英语阅读

通过

快速入门:创建安全扫描 GitHub 工作流

  • 项目

本快速入门介绍如何创建 CodeQL GitHub 工作流,以自动发现 .NET 代码库中的漏洞。

在 CodeQL 中,代码被视为数据。 安全漏洞、bug 和其他错误建模为可针对从代码中提取的数据库执行的查询。

先决条件

创建工作流文件

在 GitHub 存储库中,将新的 YAML 文件添加到 .github/workflows 目录。 选择一个有意义的文件名,这将清楚地指示工作流要执行的操作。 有关详细信息,请参阅工作流文件

重要

GitHub 要求将工作流组合文件放置在 .github/workflows 目录中。

工作流文件通常通过 jobs.<job_id>/steps[*] 定义一个或多个 GitHub Action 的组合。 有关详细信息,请参阅 GitHub Actions 的工作流语法

创建名为 codeql-analysis.yml 的新文件,将以下 YML 内容复制并粘贴到该文件:

name: "CodeQL"

on:
  push:
    branches: [main]
    paths:
    - '**.cs'
    - '**.csproj'
  pull_request:
    branches: [main]
    paths:
    - '**.cs'
    - '**.csproj'
  schedule:
    - cron: '0 8 * * 4'

jobs:
  analyze:

    name: analyze
    runs-on: ubuntu-latest

    strategy:
      fail-fast: false
      matrix:
        language: ['csharp']

    steps:
    - name: Checkout repository
      uses: actions/checkout@v3
      with:
        fetch-depth: 2

    - run: git checkout HEAD^2
      if: ${{ github.event_name == 'pull_request' }}

    - name: Initialize CodeQL
      uses: github/codeql-action/init@v1
      with:
        languages: ${{ matrix.language }}

    - name: Autobuild
      uses: github/codeql-action/autobuild@v1

    - name: Perform CodeQL Analysis
      uses: github/codeql-action/analyze@v1

在前面的工作流组合中:

  • name: CodeQL 定义名称,“CodeQL”将显示在工作流状态徽章中。

    name: "CodeQL"

  • on 节点表示触发工作流的事件:

    on:
  push:
    branches: [main]
    paths:
    - '**.cs'
    - '**.csproj'
  pull_request:
    branches: [main]
    paths:
    - '**.cs'
    - '**.csproj'
  schedule:
    - cron: '0 8 * * 4'
    • main 分支上发生 pushpull_request 时触发,其中任何更改的文件都以 .cs 或 .csproj 文件扩展名结尾。
    • 作为 cron 作业(按计划)- 在每周四 8:00(UTC 时间)运行。

  • jobs 节点会生成工作流要执行的步骤。

    jobs:
  analyze:

    name: analyze
    runs-on: ubuntu-latest

    strategy:
      fail-fast: false
      matrix:
        language: ['csharp']

    steps:
    - name: Checkout repository
      uses: actions/checkout@v3
      with:
        fetch-depth: 2

    - run: git checkout HEAD^2
      if: ${{ github.event_name == 'pull_request' }}

    - name: Initialize CodeQL
      uses: github/codeql-action/init@v1
      with:
        languages: ${{ matrix.language }}

    - name: Autobuild
      uses: github/codeql-action/autobuild@v1

    - name: Perform CodeQL Analysis
      uses: github/codeql-action/analyze@v1
    • 有一个名为 analyze 的作业将在最新版本的 Ubuntu 上运行。
    • strategy 将 C# 定义为 language
    • github/codeql-action/init@v1 GitHub 操作用于初始化 CodeQL。
    • github/codeql-action/autobuild@v1 GitHub 操作生成 .NET 项目。
    • github/codeql-action/analyze@v1 GitHub 操作执行 CodeQL 分析。

有关详细信息,请参阅 GitHub Actions:配置代码扫描

创建工作流状态徽章

GitHub 存储库有一个 README.md 文件,位于存储库目录的根目录下。 同样,最好报告各种工作流的最新状态。 所有工作流都可以生成一个状态徽章,它在 README.md 文件中具有视觉吸引力。 若要添加工作流状态徽章,请执行以下操作:

  1. 从 GitHub 存储库中选择“Actions”导航选项。

  2. 所有存储库工作流都显示在左侧,选择所需的工作流和省略号 (...) 按钮。

    • 省略号 (...) 按钮展开所选工作流的菜单选项。

  3. 选择“创建状态徽章”菜单选项。

    GitHub: Create status badge

  4. 选择“复制状态徽章 Markdown”按钮。

    GitHub: Copy status badge Markdown

  5. 将 Markdown 粘贴到 README.md 文件中,保存文件,提交并推送更改。

有关详细信息,请参阅添加工作流状态徽章

示例 CodeQL 工作流状态徽章

通过 失败 无状态
GitHub: CodeQL passing badge GitHub: CodeQL failing badge GitHub: CodeQL no-status badge

另请参阅

后续步骤

教程:使用 .NET 创建 GitHub 操作