Pemindaian kode dan CodeQL

Selesai

Bergantung pada alat mana yang ingin Anda gunakan untuk analisis dan bagaimana Anda ingin membuat pemberitahuan, ada beberapa opsi berbeda untuk menyiapkan pemindaian kode di repositori Anda. Tiga cara utamanya adalah:

  • Gunakan penyiapan default untuk mengonfigurasi analisis CodeQL dengan cepat untuk pemindaian kode di repositori Anda. Penyiapan default secara otomatis memilih bahasa yang akan dianalisis, rangkaian kueri untuk dijalankan, dan peristiwa yang memicu pemindaian. Jika mau, Anda dapat memilih rangkaian kueri secara manual untuk dijalankan dan bahasa yang akan dianalisis. Setelah Anda mengaktifkan CodeQL, GitHub Actions akan menjalankan eksekusi alur kerja untuk memindai kode Anda. Untuk informasi selengkapnya, lihat "Mengonfigurasi penyiapan default untuk pemindaian kode."
  • Gunakan penyiapan tingkat lanjut untuk menambahkan alur kerja CodeQL ke repositori Anda. Ini menghasilkan file alur kerja yang dapat disesuaikan yang menggunakan github/codeql-action untuk menjalankan CodeQL CLI. Untuk informasi selengkapnya, lihat "Mengonfigurasi penyiapan tingkat lanjut untuk pemindaian kode."
  • Jalankan CodeQL CLI langsung di sistem CI eksternal dan unggah hasilnya ke GitHub. Untuk informasi selengkapnya, lihat "Menggunakan pemindaian kode dengan sistem CI Anda yang ada."[2]

Sebelumnya, kami belajar tentang memulai dengan penyiapan dan konfigurasi default. Sekarang, Anda akan mempelajari cara menyiapkan pemindaian kode dengan penyiapan tingkat lanjut, serta cara melakukan penyiapan massal alur kerja pemindaian kode untuk beberapa repositori.

Pemindaian kode dengan GitHub Actions dan CodeQL

Untuk menyiapkan pemindaian kode dengan penyiapan tingkat lanjut, lakukan hal berikut:

  1. Buka tab Pengaturan repositori Anda.
  2. Di panel sebelah kiri, navigasikan ke Keamanan dan analisis kode, klik menu dropdown penyiapan dan pilih Tingkat Lanjut. Anda mungkin perlu mengaktifkan GitHub Advanced Security sebelum mengaktifkan pemindaian kode.
  3. Anda akan dibawa ke halaman baru dengan file alur kerja yang dihasilkan. File ini secara default bernama codeql.yml dan merupakan file alur kerja yang dapat dikonfigurasi yang perlu diterapkan ke repositori Anda untuk mulai menjalankan pemindaian kode.
  4. Untuk menyesuaikan cara pemindaian kode memindai kode Anda, edit alur kerja. Umumnya Anda dapat menerapkan alur kerja analisis CodeQL tanpa membuat perubahan apa pun padanya.
  5. Gunakan tombol Terapkan perubahan... di sudut kanan atas dan ketik pesan penerapan di kotak pop-up.
  6. Pilih apakah Anda ingin berkomitmen langsung ke cabang default atau membuat cabang baru dan memulai permintaan pull.
  7. Klik Terapkan perubahan.

Dalam alur kerja analisis CodeQL default, pemindaian kode dikonfigurasi untuk menganalisis kode Anda setiap kali Anda mendorong perubahan ke cabang default atau cabang yang dilindungi, atau menaikkan permintaan pull terhadap cabang default. Akibatnya, pemindaian kode sekarang akan dimulai.

Pemicu on:pull_request dan on:push untuk pemindaian kode masing-masing berguna untuk tujuan yang berbeda.

Pengaturan massal pemindaian kode

Anda dapat menyiapkan pemindaian kode di banyak repositori sekaligus menggunakan skrip. Jika Anda ingin menggunakan skrip untuk menaikkan permintaan pull yang menambahkan alur kerja GitHub Actions ke beberapa repositori, referensikan repositori jhutchings1/Create-ActionsPRs[3] untuk contoh menggunakan PowerShell, atau nickliffen/ghas-enablement[4] untuk contoh menggunakan NodeJS.