Présentation

Effectué

Imaginez que vous êtes développeur disposant d’autorisations d’administrateur pour un dépôt GitHub. Vous souhaitez automatiser les vérifications de sécurité. Ces étapes vous aident à analyser vos versions pour d'éventuelles vulnérabilités. Heureusement, votre organisation a acheté GitHub Advanced Security. Votre licence GitHub Advanced Security vous permet d’accomplir ces tâches à l’aide de CodeQL.

CodeQL est un outil permettant d’analyser le code dans votre dépôt GitHub et d’identifier les vulnérabilités de sécurité. Il est disponible pour les dépôts publics et les référentiels privés que votre organisation possède. CodeQL prend en charge de nombreux langages pour l’analyse, notamment C/C++, Java et Python.

Objectifs d’apprentissage

Dans ce module, vous allez découvrir les points suivants :

  • Installez l’interface de ligne de commande (CLI) CodeQL à partir de la page des versions GitHub CodeQL.
  • Créez une base de données à l’aide de CodeQL pour extraire une représentation relationnelle unique de chaque fichier source dans la base de code.
  • Exécutez CodeQL dans une base de données pour trouver des problèmes dans votre code source et trouver des vulnérabilités de sécurité potentielles.
  • Analysez les résultats de l’analyse CodeQL à l’aide de requêtes créées par GitHub ou de vos propres requêtes personnalisées.

Conditions préalables

  • Connaissance de base de GitHub Actions
  • Connaissance de l’analyse du code GitHub
  • Accès administratif à un référentiel
  • Familiarité avec SQL, Prolog et Datalog