Ringkasan

Selesai

Dalam modul ini, kami belajar:

  • Pemindaian kode dengan CodeQL dapat dikustomisasi menggunakan file alur kerja penyiapan tingkat lanjut yang menentukan lokasi kueri, bahasa mana yang harus dianalisis, dan apakah harus dibuat dengan langkah-langkah pembuatan otomatis atau build manual.
  • GitHub mendukung integrasi alat pemindaian dan peringatan pihak ketiga dalam proses pemindaian kode.
  • CodeQL memiliki CLI yang memungkinkan Anda membuat dan menganalisis database secara offline lalu mengunggah hasilnya ke GitHub menggunakan file SARIF.

Tanpa menggunakan pemindaian kode GitHub dengan CodeQL, akan sulit untuk mengotomatiskan pemindaian kode Anda dan menghasilkan permintaan pull untuk memperbaiki kode yang rentan. Selain itu, CodeQL menyediakan perpustakaan kueri yang ekstensif dan terus bertambah dalam berbagai bahasa yang membantu Anda membuat kode yang lebih aman dengan sedikit upaya rekayasa.

Referensi

  1. Menerbitkan dan menggunakan paket CodeQL
  2. Menggunakan pemindaian kode dengan sistem CI Anda yang ada
  3. jhutchings1/Create-ActionsPRs
  4. nickliffen/ghas-enablement
  5. Membuat suite kueri CodeQL
  6. Memvalidasi file SARIF
  7. Bahasa yang didukung CodeQL

Berikan umpan balik

Gunakan formulir masalah ini untuk memberikan umpan balik konten atau perubahan yang disarankan untuk modul Microsoft Learn ini. GitHub mempertahankan konten ini dan anggota tim akan melakukan triase permintaan. Terima kasih telah meluangkan waktu untuk meningkatkan konten kami!