简介

  • 1 分钟

使用 CodeQL 进行代码扫描提供了一种可扩展的方法来自动跨组织的 GitHub 存储库进行漏洞扫描。 请务必了解该工具的工作原理及其功能,以便最好地实现代码扫描来满足代码的安全需求。 你还需要了解各种配置选项,并学习如何实现和维护代码扫描管道,来正确配置和部署代码扫描。

在此模块中,我们将查看 CodeQL 静态分析工具,学习 GitHub 中的代码扫描功能如何使用它来自动扫描漏洞。 我们还将了解如何自定义使用 CodeQL 的代码扫描工作流、如何添加其他查询,以及如何将工作流调整为具有多种语言的存储库。

学习目标

学完本模块后,你将能够:

  • 了解 CodeQL 及其代码分析原理。
  • 了解 QL,它是一种独特的逻辑编程语言。
  • 在 GitHub 存储库中设置基于 CodeQL 的代码扫描。
  • 引用自定义 CodeQL 查询。
  • 在 CodeQL 工作流中配置语言矩阵。
  • 了解如何使用 CodeQL CLI 生成代码扫描结果并将其上传到GitHub。
  • 实现自定义生成步骤。

先决条件

  • 具有 GitHub 高级安全许可证的 GitHub 企业帐户
  • 管理存储库所需的权限
  • 了解 GitHub 高级安全的代码扫描功能
  • 了解 GitHub Actions