Sobre o CodeQL para VS Code

Você pode escrever, executar e testar consultas do CodeQL no Visual Studio Code com a extensão do CodeQL.

Neste artigo

Sobre o CodeQL e o Visual Studio Code

Você pode executar consultas do CodeQL em bancos de dados gerados do código-fonte a fim de localizar erros e vulnerabilidades de segurança em uma base de código. Para obter mais informações sobre o CodeQL code scanning, confira "Sobre a varredura de código com CodeQL."

Com a extensão do CodeQL para Visual Studio Code, você pode:

  • Escreva consultas e bibliotecas de suporte personalizadas do CodeQL.
  • Visualizar e usar diretamente as consultas de segurança do CodeQL do repositório github/codeql grande de código aberto.
  • Executar consultas em um ou mais bancos de dados do CodeQL.
  • Acompanhar o fluxo de dados por meio de um programa, destacando áreas que são potenciais vulnerabilidades de segurança.
  • Exibir, criar e editar todos os tipos de bilbiotecas ou pacotes de consultas do CodeQL que você pode usar ou publicar para compartilhar com outras pessoas.
  • Executar testes de unidades para consultas do CodeQL.
  • Usar um editor dedicado para exibir, criar e editar pacotes de modelos do CodeQL, que são usados para estender a análise padrão do CodeQL.

A extensão do CodeQL para Visual Studio Code também adiciona uma exibição de barra lateral do CodeQL ao VS Code. Isso contém uma lista de bancos de dados CodeQL locais, uma visão geral das consultas executadas na sessão atual e um modo de exibição de análise de variantes para análise em larga escala.

IntelliSense

A extensão fornece recursos padrão do IntelliSense para arquivos de consulta (extensão .ql) e arquivos de biblioteca (extensão .qll) que você abre no editor do VS Code. Estão incluídos:

  • Realce de sintaxe
  • Opções de clique com o botão direito do mouse (como Ir para Definição)
  • Preenchimento automático de sugestões
  • Passar o mouse sobre as informações

Para obter mais informações sobre o Intellisense no VS Code, confira IntelliSense na documentação do Visual Studio Code.

Você também pode usar o comando Format Document do VS Code para formatar seu código de acordo com o guia de estilos do CodeQL.

O VS Code Command Palette

Você também pode executar comandos para a extensão do CodeQL para Visual Studio Code do VS Code Command Palette. Para obter mais informações sobre o VS Code Command Palette, confira "Interface do Usuário" na documentação do VS Code.

Dados e telemetria

Se você optar especificamente por permitir que o GitHub faça, o GitHub coletará dados e métricas de uso para ajudar os desenvolvedores principais a melhorar a extensão do CodeQL para Visual Studio Code. Para obter mais informações, confira "Telemetria no CodeQL para Visual Studio Code".

Sobre a licença do GitHub CodeQL

Aviso de licença: se você não tiver uma licença do GitHub Enterprise, baixando este arquivo, você estará concordando com os Termos e condições do GitHub CodeQL.

O GitHub CodeQL é licenciado por usuário. Sob as restrições de licença, você pode usar o CodeQL para executar as seguintes tarefas:

  • Realizar pesquisas acadêmicas.
  • Demonstrar o software.
  • Testar consultas do CodeQL lançadas sob uma licença aprovada pela OSI para confirmar que novas versões dessas consultas continuam a encontrar as vulnerabilidades certas.

Sendo que "Licença aprovada pela OSI" significa uma licença de software de código aberto aprovada pela OSI (Open Source Initiative).

Se você estiver trabalhando com uma base de código Open Source Codebase (ou seja, uma base de código lançada sob uma licença aprovada pela OSI), também poderá usar o CodeQL para as seguintes tarefas:

  • Executar a análise da Open Source Codebase.
  • Gerar bancos de dados do CodeQL voltados à análise automatizada, integração contínua ou entrega contínua, quando a Open Source Codebase for hospedada e mantida no GitHub.com.

O CodeQL não pode ser usado para a análise automatizada, a integração contínua ou a entrega contínua, seja como parte de processos normais de engenharia de software, seja de outra forma, exceto nos casos expressos aqui estabelecidos, a menos que você tenha uma licença para o GitHub Advanced Security.

Para obter informações sobre como é possível testar o GitHub Enterprise com o GitHub Advanced Security de forma gratuita, confira “Configurar uma versão de avaliação do GitHub Enterprise Cloud” e “Como configurar uma avaliação gratuita do GitHub Advanced Security” na documentação do GitHub Enterprise Cloud.

Próximas etapas

Para saber mais sobre como instalar a extensão do CodeQL para Visual Studio Code, confira "Instalar o CodeQL para Visual Studio Code".