摘要

  • 5 分鐘

在此課程模組中,我們已了解:

  • 使用 CodeQL 進行程式碼掃描,可透過進階設定工作流程檔案自訂,該檔案指定查詢位置、要分析的語言,以及是否使用自動建置或手動建置步驟。
  • GitHub 支援在程式碼掃描流程中整合協力廠商掃描和警示工具。
  • CodeQL 具有 CLI,可讓您離線建立和分析資料庫,然後使用 SARIF 檔案來將結果上傳至 GitHub。

若未搭配 CodeQL 使用 GitHub 程式代碼掃描,就很難將程式代碼掃描自動化,並產生提取要求來修正易受攻擊的程式代碼。 此外,CodeQL 會以多種語言提供大量且不斷成長的查詢程式庫,可協助您以較少的工程工作量建立更安全的程式碼。

參考資料

  1. 發佈和使用 CodeQL 套件
  2. 搭配現有的 CI 系統使用程式碼掃描
  3. jhutchings1/Create-ActionsPRs
  4. nickliffen/ghas-enablement
  5. 建立 CodeQL 查詢套件
  6. 驗證 SARIF 檔案
  7. CodeQL 支援的語言

提供意見反應

使用此 議題表單 提供內容回饋或對本 Microsoft Learn 模組的建議。 GitHub 維護這些內容,團隊成員會對請求進行分流處理。 感謝您花時間來改善我們的內容!