介绍
假设你是拥有 GitHub 存储库管理员权限的开发人员。 你想要自动执行安全检查。 这些步骤可帮助你分析发布是否存在任何漏洞。 幸运的是,你的组织购买了 GitHub 高级安全性。 通过 GitHub 高级安全许可证,可以使用 CodeQL 完成这些任务。
CodeQL 是用于分析 GitHub 存储库中的代码并确定安全漏洞的工具。 它适用于组织拥有的公共存储库和专用存储库。 CodeQL 支持多种语言进行分析,包括 C/C++、Java 和 Python。
学习目标
在本模块中,你将学习以下内容:
- 从 GitHub CodeQL 版本的页面中安装 CodeQL 命令行接口(CLI)。
- 使用 CodeQL 创建数据库,以提取代码库中每个源文件的单个关系表示形式。
- 在数据库中运行 CodeQL,以查找源代码中的问题并查找潜在的安全漏洞。
- 使用 GitHub 创建的查询或自己的自定义查询分析 CodeQL 扫描结果。