摘要

已完成

在本模块中，我们学习了：

• 可以使用高级安装工作流文件自定义使用 CodeQL 进行代码扫描，该文件指定查询的位置、要分析的语言以及是否应使用自动生成或手动生成步骤生成它们。
• GitHub 支持在代码扫描过程中集成第三方扫描和警报工具。
• CodeQL 提供 CLI，可用于脱机创建和分析数据库，然后使用 SARIF 文件将结果上传到 GitHub。

如果不使用 GitHub 的 CodeQL 代码扫描功能，将很难实现代码扫描和生成拉取请求以自动修复易受攻击的代码。 此外，CodeQL 提供了多种语言的广泛、不断增长的查询库，有助于创建更安全的代码，且仅需进行很少的工程处理。

参考

• GitHub CodeQL
• GitHub 代码扫描

资源链接

1. 发布及使用 CodeQL 包
2. 通过现有 CI 系统使用代码扫描
3. jhutchings1/Create-ActionsPRs
4. nickliffen/ghas-enablement
5. 创建 CodeQL 查询套件
6. 验证 SARIF 文件
7. CodeQL 支持的语言