Úvod
Představte si, že jste vývojář s oprávněními správce pro úložiště GitHub. Chcete automatizovat kontroly zabezpečení. Tyto kroky vám pomůžou analyzovat vydané verze z hlediska ohrožení zabezpečení. Vaše organizace naštěstí zakoupila GitHub Advanced Security. Licence GitHub Advanced Security umožňuje tyto úlohy provádět pomocí CodeQL.
CodeQL je nástroj pro analýzu kódu v úložišti GitHub a identifikaci ohrožení zabezpečení. Je k dispozici pro veřejná úložiště a privátní úložiště, která vlastní vaše organizace. CodeQL podporuje mnoho jazyků pro analýzu, včetně C/C++, Javy a Pythonu.
Studijní cíle
V tomto modulu:
- Nainstalujte rozhraní příkazového řádku CodeQL (CLI) ze stránky s vydáními CodeQL na GitHubu.
- Vytvořte databázi pomocí CodeQL k extrahování jediné relační reprezentace každého zdrojového souboru v základu kódu.
- Spusťte CodeQL v databázi, abyste našli problémy ve zdrojovém kódu a našli potenciální ohrožení zabezpečení.
- Analyzujte výsledky kontroly CodeQL pomocí dotazů vytvořených na GitHubu nebo vlastních dotazů.