Úvod

Dokončeno

Představte si, že jste vývojář s oprávněními správce pro úložiště GitHub. Chcete automatizovat kontroly zabezpečení. Tyto kroky vám pomůžou analyzovat vydané verze z hlediska ohrožení zabezpečení. Vaše organizace naštěstí zakoupila GitHub Advanced Security. Licence GitHub Advanced Security umožňuje tyto úlohy provádět pomocí CodeQL.

CodeQL je nástroj pro analýzu kódu v úložišti GitHub a identifikaci ohrožení zabezpečení. Je k dispozici pro veřejná úložiště a privátní úložiště, která vlastní vaše organizace. CodeQL podporuje mnoho jazyků pro analýzu, včetně C/C++, Javy a Pythonu.

Studijní cíle

V tomto modulu:

  • Nainstalujte rozhraní příkazového řádku CodeQL (CLI) ze stránky s vydáními CodeQL na GitHubu.
  • Vytvořte databázi pomocí CodeQL k extrahování jediné relační reprezentace každého zdrojového souboru v základu kódu.
  • Spusťte CodeQL v databázi, abyste našli problémy ve zdrojovém kódu a našli potenciální ohrožení zabezpečení.
  • Analyzujte výsledky kontroly CodeQL pomocí dotazů vytvořených na GitHubu nebo vlastních dotazů.

Požadavky

  • Základní znalost GitHub Actions
  • Znalost skenování kódu GitHubu
  • Přístup pro správu k úložišti
  • Znalost SQL, Prologu, a Datalogu