소개

완료됨

GitHub 리포지토리에 대한 관리자 권한이 있는 개발자라고 상상해 보십시오. 보안 검사를 자동화하려고 합니다. 이러한 단계는 릴리스에서 취약성을 분석하는 데 도움이 됩니다. 다행히 조직에서 GitHub Advanced Security를 구입했습니다. GitHub Advanced Security 라이선스를 사용하면 CodeQL을 사용하여 이러한 작업을 수행할 수 있습니다.

CodeQL은 GitHub 리포지토리의 코드를 분석하고 보안 취약성을 식별하기 위한 도구입니다. 조직에서 소유하는 공용 리포지토리 및 프라이빗 리포지토리에 사용할 수 있습니다. CodeQL은 C/C++, Java 및 Python을 포함하여 분석을 위해 많은 언어를 지원합니다.

학습 목표

이 모듈에서 학습할 내용은 다음과 같습니다.

  • GitHub CodeQL 릴리스 페이지에서 CodeQL CLI(명령줄 인터페이스)를 설치합니다.
  • CodeQL을 사용하여 코드베이스에서 각 소스 파일의 단일 관계형 표현을 추출하여 데이터베이스를 만듭니다.
  • 데이터베이스에서 CodeQL을 실행하여 소스 코드에서 문제를 찾고 잠재적인 보안 취약성을 찾습니다.
  • GitHub에서 만든 쿼리 또는 사용자 지정 쿼리를 사용하여 CodeQL 검사 결과를 분석합니다.

필수 조건

  • GitHub Actions에 대한 기본 지식
  • GitHub 코드 검사에 대한 숙지
  • 리포지토리에 대한 관리 액세스
  • SQL, 프롤로그Datalog에 대한 숙지