簡介
假設您是專案的 GitHub 系統管理員,而且您想要確定程式代碼不包含任何安全性弱點或錯誤。 手動檢查程式碼基底是非常耗時的工作,當程式碼基底很大時更是如此。 您任職的公司剛剛購買了 GitHub Advanced Security 授權,此授權可藉由讓您使用程式碼掃描功能來節省您的時間和精力。 透過程式代碼掃描,您會收到指出任何有問題的程式代碼的警示。 然後,您可以快速找出問題區域,並進行必要的變更。 為了啟用程式碼掃描功能,您必須知道可用的工具及其功能。 您也需要了解程式碼掃描功能的執行頻率,以及可用來觸發掃描的事件類型。
本課程模組向您介紹程式碼掃描及其功能。 您將了解如何使用 CodeQL、協力廠商工具和 GitHub Actions 來實作程式碼掃描。 您也將了解各種可設定程式碼掃描功能以獲得最佳體驗的方式。
學習目標
完成本課程模組之後,您將能夠:
- 描述程式碼掃描。
- 列出在存放庫中啟用程式碼掃描的步驟。
- 列出使用協力廠商分析來啟用程式碼掃描的步驟。
- 對比如何在 GitHub Actions 工作流程中實作 CodeQL 分析,與如何實作協力廠商持續整合 (CI) 工具。
- 說明如何使用觸發事件在存放庫上設定程式碼掃描。
- 對比程式碼掃描工作流程 (事件所排程與事件所觸發) 的頻率。
必要條件
- GitHub 帳戶
- 熟悉管理 GitHub 系統管理設定
- GitHub Actions 的基本知識