Hinweis: Dein Websiteadministrator muss code scanning für deine GitHub Enterprise Server-Instanz aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Konfigurieren des Codescannings für deine Appliance.
Informationen zu CodeQL code scanning auf dem CI-System
Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse identifizierten Probleme werden in GitHub Enterprise Server angezeigt. Weitere Informationen findest du unter Informationen zu Codescans mit CodeQL.
Du kannst CodeQL code scanning innerhalb von GitHub Enterprise Server mit GitHub Actions ausführen. Wenn du ein CI/CD-System (Continuous Integration und Continuous Delivery) eines Drittanbieters verwendest, kannst du alternativ die CodeQL-Analyse in deinem vorhandenen System durchführen und die Ergebnisse auf deine GitHub Enterprise Server-Instanz hochladen.
Du fügst dem Drittanbietersystem die CodeQL CLI hinzu und rufen dann das Tool auf, um Code zu analysieren und die SARIF-Ergebnisse in GitHub Enterprise Server hochzuladen. Die sich daraus ergebenden code scanning-Warnungen werden zusammen mit allen Warnungen angezeigt, die innerhalb von GitHub Enterprise Server generiert wurden.
Hinweis: Das Hochladen von SARIF-Daten zur Anzeige von code scanning-Ergebnissen in GitHub Enterprise Server wird für organisationseigene Repositorys mit aktivierter GitHub Advanced Security unterstützt. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.
Informationen zur CodeQL CLI
Die CodeQL CLI sind ein eigenständiges Produkt, mit dem du Code analysieren kannst. Ihr Hauptzweck besteht darin, eine Datenbankdarstellung einer Codebasis zu generieren: eine CodeQL-Datenbank. Wenn die Datenbank bereit ist, kannst du sie interaktiv abfragen oder eine Reihe von Abfragen ausführen, um Ergebnissets im SARIF-Format zu generieren und auf deine GitHub Enterprise Server-Instanz hochzuladen.
Verwende die CodeQL CLI, um Folgendes zu analysieren:
- Dynamische Sprachen, z. B. JavaScript und Python.
- Kompilierte Sprachen wie C/C++, C# und Java.
- Codebases, die in einer Mischung aus Sprachen geschrieben wurden.
Weitere Informationen findest du unter Installieren der CodeQL-CLI in deinem CI-System.
Hinweise:
-
Die CodeQL CLI ist für Kunden mit einer Lizenz für Advanced Security verfügbar.
-
Die CodeQL CLI ist derzeit nicht mit Nicht-Glibc-Linux-Distributionen wie (musl-basiertem) Alpine Linux kompatibel.