Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Informationen zur CodeQL-Codeüberprüfung in deinem CI-System

Du kannst deinen Code mit CodeQL im Continuous-Integration-System eines Drittanbieters analysieren und die Ergebnisse auf GitHub.com hochladen. Die sich daraus ergebenden code scanning-Warnungen werden zusammen mit allen Warnungen angezeigt, die innerhalb von GitHub Enterprise Cloud generiert wurden.

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Zur Verwendung von code scanning in einem privaten organisationseigenen Repository musst du über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zu CodeQL code scanning auf dem CI-System

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codierungsfehler zu finden. Alle von der Analyse identifizierten Probleme werden in GitHub Enterprise Cloud angezeigt. Weitere Informationen findest du unter Informationen zu code scanning mit CodeQL.

Du kannst CodeQL code scanning innerhalb von GitHub Enterprise Cloud mit GitHub Actions ausführen. Wenn du ein CI/CD-System (Continuous Integration und Continuous Delivery) eines Drittanbieters verwendest, kannst du alternativ die CodeQL-Analyse in deinem vorhandenen System durchführen und die Ergebnisse auf GitHub.com hochladen.

Du fügst dem Drittanbietersystem die CodeQL CLI hinzu und rufen dann das Tool auf, um Code zu analysieren und die SARIF-Ergebnisse in GitHub Enterprise Cloud hochzuladen. Die sich daraus ergebenden code scanning-Warnungen werden zusammen mit allen Warnungen angezeigt, die innerhalb von GitHub Enterprise Cloud generiert wurden. Weitere Informationen findest du unter Informationen zur CodeQL-Codeüberprüfung in deinem CI-System.

Wenn du die Codeüberprüfung mit mehreren Konfigurationen ausführst, kann es passieren, dass eine Warnung mehrere Analyseursprünge aufweist. Wenn eine Warnung mehrere Analyseursprünge hat, kannst du den Status der Warnung für jeden Analyseursprung auf der Warnungsseite einsehen. Weitere Informationen findest du unter Informationen zu Analyse-Ursprüngen.

Hinweis: Das Hochladen von SARIF-Daten zur Anzeige von code scanning-Ergebnissen in GitHub Enterprise Cloud wird für organisationseigene Repositorys mit aktivierter GitHub Advanced Security und öffentliche Repositorys unter GitHub.com unterstützt. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

Informationen zur CodeQL CLI

Die CodeQL CLI sind ein eigenständiges Produkt, mit dem du Code analysieren kannst. Ihr Hauptzweck besteht darin, eine Datenbankdarstellung einer Codebasis zu generieren: eine CodeQL-Datenbank. Wenn die Datenbank bereit ist, kannst du sie interaktiv abfragen oder eine Reihe von Abfragen ausführen, um Ergebnissets im SARIF-Format zu generieren und auf GitHub.com hochzuladen.

Verwende die CodeQL CLI, um Folgendes zu analysieren:

  • Dynamische Sprachen, z. B. JavaScript und Python.
  • Kompilierte Sprachen wie C/C++, C#, Go und Java.
  • Codebases, die in einer Mischung aus Sprachen geschrieben wurden.

Weitere Informationen findest du unter Installieren der CodeQL CLI auf deinem CI-System.

Hinweise:

  • Die CodeQL CLI kann in öffentlichen Repositorys, die auf GitHub.com verwaltet werden, kostenlos verwendet werden und steht in privaten Repositorys, die Kunden mit einer Lizenz für Advanced Security gehören, zur Verfügung. Weitere Informationen findest du unter GitHub Enterprise Cloud CodeQL-Geschäftsbedingungen und CodeQL-CLI.
  • Die CodeQL CLI ist derzeit nicht mit Nicht-Glibc-Linux-Distributionen wie (musl-basiertem) Alpine Linux kompatibel.