总结
在本模块中,我们学习了:
- 可以使用高级设置工作流文件自定义使用 CodeQL 进行代码,该文件指定了查询的位置和要分析的语言,以及是通过自动生成来生成它们,还是通过手动生成步骤来生成它们。
- GitHub 支持在代码扫描过程中集成第三方扫描和警报工具。
- CodeQL 提供 CLI,可用于脱机创建和分析数据库,然后使用 SARIF 文件将结果上传到 GitHub。
如果不使用 CodeQL 进行 GitHub 代码扫描,则很难自动扫描代码,并自动生成拉取请求来修复存在漏洞的代码。 此外,CodeQL 提供了多种语言的广泛、不断增长的查询库,有助于创建更安全的代码,且仅需进行很少的工程处理。