Perkenalan

Selesai

Bayangkan Anda adalah pengembang dengan izin administrator untuk repositori GitHub. Anda ingin mengotomatiskan pemeriksaan keamanan. Langkah-langkah ini membantu Anda menganalisis rilis Anda untuk adanya kerentanan. Untungnya, organisasi Anda membeli GitHub Advanced Security. Lisensi GitHub Advanced Security memungkinkan Anda menyelesaikan tugas-tugas ini dengan menggunakan CodeQL.

CodeQL adalah alat untuk menganalisis kode di repositori GitHub Anda dan mengidentifikasi kerentanan keamanan. Ini tersedia untuk repositori publik dan repositori privat yang dimiliki organisasi Anda. CodeQL mendukung banyak bahasa untuk analisis, termasuk C/C++, Java, dan Python.

Tujuan pembelajaran

Dalam modul ini, Anda akan:

  • Instal antarmuka baris perintah (CLI) CodeQL dari halaman rilis GitHub CodeQL.
  • Buat database dengan menggunakan CodeQL untuk mengekstrak representasi relasional tunggal dari setiap file sumber di basis kode.
  • Jalankan CodeQL dalam database untuk menemukan masalah dalam kode sumber Anda dan temukan potensi kerentanan keamanan.
  • Analisis hasil pemindaian CodeQL dengan menggunakan kueri yang dibuat GitHub atau kueri kustom Anda sendiri.

Prasyarat

  • Pengetahuan dasar tentang GitHub Actions
  • Keakraban dengan pemindaian kode GitHub
  • Akses administratif ke repositori
  • Keakraban dengan SQL, Prolog, dan Datalog