总结

  • 5 分钟

在本模块中,我们学习了:

  • 可以使用高级设置工作流文件自定义使用 CodeQL 进行代码,该文件指定了查询的位置和要分析的语言,以及是通过自动生成来生成它们,还是通过手动生成步骤来生成它们。
  • GitHub 支持在代码扫描过程中集成第三方扫描和警报工具。
  • CodeQL 提供 CLI,可用于脱机创建和分析数据库,然后使用 SARIF 文件将结果上传到 GitHub。

如果不使用 CodeQL 进行 GitHub 代码扫描,则很难自动扫描代码,并自动生成拉取请求来修复存在漏洞的代码。 此外,CodeQL 提供了多种语言的广泛、不断增长的查询库,有助于创建更安全的代码,且仅需进行很少的工程处理。

参考

  1. 发布及使用 CodeQL 包
  2. 通过现有 CI 系统使用代码扫描
  3. jhutchings1/Create-ActionsPRs
  4. nickliffen/ghas-enablement
  5. 创建 CodeQL 查询套件
  6. 验证 SARIF 文件
  7. CodeQL 支持的语言