在 CI 系统中安装 CodeQL CLI

您可以安装 CodeQL CLI 并用它在第三方持续集成系统中执行 CodeQL 代码扫描。

代码扫描 适用于启用了 GitHub Advanced Security 的组织拥有的仓库。 更多信息请参阅“关于 GitHub Advanced Security”。

注:站点管理员必须为 your GitHub Enterprise Server instance 启用 代码扫描,然后您才可使用此功能。 更多信息请参阅“为设备配置 代码扫描”。

关于将 CodeQL CLI 用于 代码扫描

您可以使用 CodeQL CLI 在第三方持续集成 (CI) 系统中处理的代码上运行 代码扫描。 代码扫描 是一项功能,可用于分析 GitHub 仓库中的代码,以查找安全漏洞和编码错误。 分析发现的任何问题都显示在 GitHub Enterprise Server 中。 For information, see "About 代码扫描 with CodeQL."

CodeQL CLI 是一个可用来分析代码的独立产品。 其主要用途是生成代码空间的数据库表示形式,即 CodeQL 数据库。 数据库准备就绪后,您可以进行交互式查询,或者运行一系列查询以生成一组 SARIF 格式的结果,然后将结果上传到 your GitHub Enterprise Server instance。

您也可以使用 GitHub Actions 在 GitHub Enterprise Server 中运行 代码扫描。 有关使用操作进行 代码扫描 的信息,请参阅“为仓库设置 代码扫描”。 有关 CI 系统选项的概述,请参阅“关于 CI 系统中的 CodeQL 代码扫描”。

注:CodeQL CLI 可用于拥有 Advanced Security 许可证的客户。

下载 CodeQL CLI

您应该从 https://github.com/github/codeql-action/releases 下载 CodeQL 包。 包中包含:

您应该始终使用 CodeQL 包,因为这样可以确保兼容性,并且比单独下载 CodeQL CLI 和检出 CodeQL 查询提供更好的性能。 如果您只在一个特定平台上运行 CLI,请下载相应的 codeql-bundle-PLATFORM.tar.gz 文件。 或者,您可以下载 codeql-bundle.tar.gz,其中包含所有支持平台的 CLI 。

在 CI 系统中设置 CodeQL CLI

您需要将 CodeQL CLI 包的全部内容提供给要运行 CodeQL 代码扫描 分析的每个 CI 服务器。 例如,您可以配置每台服务器从中央内部位置复制包并提取它。 或者,您可以使用 REST API 直接从 GitHub 获取包,以确保您从查询的最新改进中受益。 CodeQL CLI 的更新每 2-3 周发布一次。 例如:

$ wget https://HOSTNAME/github/codeql-action/releases/latest/download/codeql-bundle-linux64.tar.gz
$ tar -xvzf ../codeql-bundle-linux64.tar.gz

提取 CodeQL CLI 包后,您可以在服务器上运行 codeql 可执行文件:

  • 通过执行 /<extraction-root>/codeql/codeql,其中 <extraction-root> 是您提取 CodeQL CLI 包的文件夹。
  • 通过将 /<extraction-root>/codeql 添加到 PATH,以便您可以像 codeql 一样运行可执行文件。

测试 CodeQL CLI 设置

提取 CodeQL CLI 包后,您可以运行以下命令来验证是否正确设置了 CLI 以创建和分析数据库。

  • codeql resolve qlpacks(如果 /<extraction-root>/codeqlPATH 上)。
  • /<extraction-root>/codeql/codeql resolve qlpacks

从成功的输出提取:

codeql-cpp (/<extraction-root>/codeql/qlpacks/codeql-cpp)
codeql-cpp-examples (/<extraction-root>/codeql/qlpacks/codeql-cpp-examples)
codeql-cpp-upgrades (/<extraction-root>/codeql/qlpacks/codeql-cpp-upgrades)
codeql-csharp (/<extraction-root>/codeql/qlpacks/codeql-csharp)
codeql-csharp-examples (/<extraction-root>/codeql/qlpacks/codeql-csharp-examples)
codeql-csharp-upgrades (/<extraction-root>/codeql/qlpacks/codeql-csharp-upgrades)
codeql-go (/<extraction-root>/codeql/qlpacks/codeql-go)
codeql-go-examples (/<extraction-root>/codeql/qlpacks/codeql-go-examples)
codeql-go-upgrades (/<extraction-root>/codeql/qlpacks/codeql-go-upgrades)
codeql-java (/<extraction-root>/codeql/qlpacks/codeql-java)
codeql-java-examples (/<extraction-root>/codeql/qlpacks/codeql-java-examples)
codeql-java-upgrades (/<extraction-root>/codeql/qlpacks/codeql-java-upgrades)
codeql-javascript (/<extraction-root>/codeql/qlpacks/codeql-javascript)
codeql-javascript-examples (/<extraction-root>/codeql/qlpacks/codeql-javascript-examples)
codeql-javascript-upgrades (/<extraction-root>/codeql/qlpacks/codeql-javascript-upgrades)
codeql-python (/<extraction-root>/codeql/qlpacks/codeql-python)
codeql-python-examples (/<extraction-root>/codeql/qlpacks/codeql-python-examples)
codeql-python-upgrades (/<extraction-root>/codeql/qlpacks/codeql-python-upgrades)
...

您应该检查输出是否包含预期的语言,以及 qlpack 文件的目录位置是否正确。 位置应在提取的 CodeQL CLI 捆绑包内,如上图所示为 <extraction root>,除非您使用的是 github/codeql的检出。 如果 CodeQL CLI 找不到预期语言的 qlpacks,请检查您是否下载了 CodeQL 捆绑包,而不是 CodeQL CLI 的独立副本。

使用 GitHub Enterprise Server 生成用于身份验证的令牌

每个 CI 服务器都需要 GitHub 应用程序 或用于 CodeQL CLI 的个人访问令牌,才能将结果上传到 GitHub Enterprise Server。 您必须使用具有 >security_events 写入权限的访问令牌或 GitHub 应用程序。 如果CI 服务器已使用具有此作用域的令牌从 GitHub Enterprise Server 检出仓库, 您可以允许 CodeQL CLI 使用相同的令牌。 否则,您应该创建具有 security_events 写入权限的新令牌,然后将其添加到 CI 系统的密钥存储区。 更多信息请参阅“构建 GitHub 应用程序”和“创建个人访问令牌”。

后续步骤

您现在可以配置 CI 系统运行 CodeQL 分析、生成结果并上传到 GitHub Enterprise Server,在那里结果将匹配分支或拉取请求并显示为 代码扫描 警报。 有关详细信息,请参阅“在 CI 系统中配置 CodeQL CLI”。

此文档对您有帮助吗?

隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或者, 了解如何参与。