简介
假设你是项目的 GitHub 管理员,并且你希望确保代码不包含任何安全漏洞或错误。 手动检查代码库可能非常耗时,尤其是在代码库非常大时。 你的公司刚刚购买了一个 GitHub 高级安全许可证,它允许你使用代码扫描,从而有助于节省时间和精力。 通过代码扫描,你会收到指示任何有问题的代码的警报。 然后,可以快速找到问题区域并做出必要的更改。 若要启用代码扫描,需要了解可用的工具及其功能。 还需要了解执行代码扫描的频率以及可用于触发扫描的事件类型。
此模块介绍了代码扫描及其功能。 你将了解如何使用 CodeQL、第三方工具和 GitHub Actions 实现代码扫描。 你还将了解配置代码扫描以优化体验的不同方式。
学习目标
完成此模块后,你将能够:
- 介绍代码扫描。
- 列出在存储库中启用代码扫描的步骤。
- 列出使用第三方分析启用代码扫描的步骤。
- 对比如何在 GitHub Actions 工作流与第三方持续集成 (CI) 工具中实现 CodeQL 分析。
- 解释如何使用触发事件对存储库配置代码扫描。
- 对比代码扫描工作流程的频率(计划的代码扫描对比由事件触发的代码扫描)。
先决条件
- 一个 GitHub 帐户
- 熟悉如何管理 GitHub 管理设置
- 具备 GitHub Actions 的基础知识