Skip to main content

关于使用 CodeQL 进行代码扫描

可以使用 CodeQL 来识别代码中的漏洞和错误。 结果在 GitHub 中显示为 code scanning 警报。

谁可以使用此功能?

Code scanning 可用于 GitHub.com 上的所有公共存储库。 若要在组织拥有的专用存储库中使用 code scanning,必须具有 GitHub Advanced Security 许可证。 有关详细信息,请参阅“关于 GitHub 高级安全性”。

关于使用 CodeQL 进行 code scanning

CodeQL 是 GitHub 开发的代码分析引擎,用于自动执行安全检查。 可使用 CodeQL 分析代码,并将结果显示为 code scanning 警报。

对 code scanning 使用 CodeQL 分析有三种主要方法:

  • 使用默认设置在存储库上快速配置对 code scanning 的 CodeQL 分析。 默认设置自动选择要分析的语言、要运行的查询套件和触发扫描的事件。 如果需要,可以手动选择要运行的查询套件以及要分析的语言。 启用 CodeQL 后,GitHub Actions 将执行工作流运行以扫描代码。 有关详细信息,请参阅“配置代码扫描的默认设置”。

  • 使用高级设置将 CodeQL 工作流添加到存储库。 这会生成一个可自定义的工作流文件,该文件使用 github/codeql-action 运行 CodeQL CLI。 有关详细信息,请参阅“配置代码扫描的高级设置”。

  • 直接在外部 CI 系统中运行 CodeQL CLI 并将结果上传到 GitHub。 有关详细信息,请参阅“在现有 CI 系统上使用代码扫描”。

有关 code scanning 警报的信息,请参阅“关于代码扫描警报”。

关于 CodeQL

CodeQL 将代码视为数据,允许您在代码中查找潜在漏洞,比传统的静态分析工具更可靠。

  1. 生成 CodeQL 数据库来代表您的代码库。
  2. 然后,对该数据库运行 CodeQL 查询,以确定代码库中的问题。
  3. 将 CodeQL 与 code scanning一起使用时,查询结果在 GitHub Enterprise Cloud 中显示为 code scanning 警报。

CodeQL 支持编译的语言和解释的语言,并且可以在使用支持的语言编写的代码中发现漏洞和错误。

  • C/C++
  • C#
  • Go
  • Java/Kotlin
  • JavaScript/TypeScript
  • Python
  • Ruby - Swift

注意:

  • 用于 Swift 的 CodeQL 分析目前为 beta 版。 在 beta 版中,Swift 的分析将不如其他语言的 CodeQL 分析全面。 此外,尚不支持 Swift 5.8。
  • 用于 Kotlin 的 CodeQL 分析目前为 beta 版。 在 beta 版中,Kotlin 的分析将不如其他语言的 CodeQL 分析全面。
  • 使用 java-kotlin 分析用 Java、Kotlin 或两者共同编写的代码。
  • 使用 javascript-typescript 分析用 JavaScript、TypeScript 或两者共同编写的代码。

有关详细信息,请参阅 CodeQL 网站上的文档:“支持的语言和框架”。

关于 CodeQL 查询

GitHub 专家、安全研究人员和社区贡献者编写和维护用于 code scanning 的默认 CodeQL 查询。 查询会定期更新,以改进分析并减少任何误报结果。 这些查询是开源查询,因此你可以在 github/codeql 存储库中查看和参与它们。 有关详细信息,请参阅 CodeQL 网站上的 CodeQL。 你也可以编写自己的查询。 有关详细信息,请参阅 CodeQL 文档中的“关于 CodeQL 查询”。

如果使用高级设置或外部 CI 系统扫描代码,则可以在分析过程中运行其他查询。 这些查询必须属于已发布的 CodeQL 查询包(beta 版)或存储库中的 CodeQL 包。 与传统的 QL 包相比,CodeQL 包(beta 版)具有以下优势:

  • 当 CodeQL 查询包(测试版)发布到 GitHub Container registry 时,查询所需的所有可传递依赖项和编译缓存都包含在包中。 这可以提高性能,并确保在包中运行查询每次都会提供相同的结果,直到升级到新版本的包或 CLI。
  • QL 包不包含可传递的依赖项,因此包中的查询只能依赖于标准库(即,查询中的 import LANGUAGE 语句引用的库),或查询所在的 QL 包中的库。
  • CodeQL 查询包(beta 版)可从多个 GitHub 容器注册表下载。 有关详细信息,请参阅“自定义 代码扫描的高级设置”。

有关详细信息,请参阅“使用 CodeQL 包自定义分析”。

注意:CodeQL 包管理功能(包括 CodeQL 包)当前为 beta 版本,可能会发生更改。