簡介
使用 CodeQL 進行程式碼掃描提供可延伸的方法,可將整個組織的 GitHub 存放庫的弱點掃描自動化。 請務必瞭解此工具的運作方式及其功能,這樣才能以最佳方式實作程式碼掃描,以符合程式碼的安全性需求。 您也將需要瞭解各種設定選項,以及如何實作和維護程式碼掃描管線,以正確地設定及部署程式碼掃描。
在此課程模組中,我們會檢閱 CodeQL 靜態分析工具,以及 GitHub 中的程式碼掃描功能如何使用它來將弱點掃描自動化。 我們也會瞭解如何自訂使用 CodeQL 的程式碼掃描工作流程、如何包含其他查詢,以及如何將工作流程調整為具有多種語言的存放庫。
學習目標
在本模組結束時,您將能夠:
- 了解 CodeQL 及其分析程式碼的方式。
- 了解 QL,這是獨特的邏輯程式設計語言。
- 在 GitHub 存放庫中設定 CodeQL 型程式碼掃描。
- 參考自訂 CodeQL 查詢。
- 在 CodeQL 工作流程中設定語言矩陣。
- 了解如何使用 CodeQL CLI,來產生程式碼掃描結果,並將其上傳至 GitHub。
- 實作自訂建置步驟。
必要條件
- 具有 GitHub 進階安全性授權的 GitHub 企業帳戶
- 管理存放庫的必要權限
- GitHub 進階安全性的程式碼掃描功能知識
- GitHub Actions 的知識