Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Informationen zur CodeQL-Codeüberprüfung in deinem CI-System

Du kannst deinen Code mit CodeQL im Continuous-Integration-System eines Drittanbieters analysieren und die Ergebnisse auf your GitHub Enterprise Server instance hochladen. Die sich daraus ergebenden code scanning-Warnungen werden zusammen mit allen Warnungen angezeigt, die innerhalb von GitHub Enterprise Server generiert wurden.

Code scanning ist für organisationseigene Repositorys in GitHub Enterprise Server verfügbar. Dieses Feature erfordert eine Lizenz für GitHub Advanced Security. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Hinweis: Dein Websiteadministrator muss code scanning für your GitHub Enterprise Server instance aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Konfigurieren von code scanning für deine Appliance.

Informationen zu CodeQL code scanning auf dem CI-System

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codierungsfehler zu finden. Alle von der Analyse identifizierten Probleme werden in GitHub Enterprise Server angezeigt. Weitere Informationen findest du unter Informationen zu code scanning mit CodeQL.

Du kannst CodeQL code scanning innerhalb von GitHub Enterprise Server mit GitHub Actions ausführen. Wenn du ein CI/CD-System (Continuous Integration und Continuous Delivery) eines Drittanbieters verwendest, kannst du alternativ die CodeQL-Analyse in deinem vorhandenen System durchführen und die Ergebnisse auf your GitHub Enterprise Server instance hochladen.

Du fügst dem Drittanbietersystem die CodeQL CLI hinzu und rufen dann das Tool auf, um Code zu analysieren und die SARIF-Ergebnisse in GitHub Enterprise Server hochzuladen. Die sich daraus ergebenden code scanning-Warnungen werden zusammen mit allen Warnungen angezeigt, die innerhalb von GitHub Enterprise Server generiert wurden. Weitere Informationen findest du unter Informationen zur CodeQL-Codeüberprüfung in deinem CI-System.

Wenn du die Codeüberprüfung mit mehreren Konfigurationen ausführst, kann es passieren, dass eine Warnung mehrere Analyseursprünge aufweist. Wenn eine Warnung mehrere Analyseursprünge hat, kannst du den Status der Warnung für jeden Analyseursprung auf der Warnungsseite einsehen. Weitere Informationen findest du unter Informationen zu Analyse-Ursprüngen.

Hinweis: Das Hochladen von SARIF-Daten zur Anzeige von code scanning-Ergebnissen in GitHub Enterprise Server wird für organisationseigene Repositorys mit aktivierter GitHub Advanced Security unterstützt. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

Informationen zur CodeQL CLI

Die CodeQL CLI sind ein eigenständiges Produkt, mit dem du Code analysieren kannst. Ihr Hauptzweck besteht darin, eine Datenbankdarstellung einer Codebasis zu generieren: eine CodeQL-Datenbank. Wenn die Datenbank bereit ist, kannst du sie interaktiv abfragen oder eine Reihe von Abfragen ausführen, um Ergebnissets im SARIF-Format zu generieren und auf your GitHub Enterprise Server instance hochzuladen.

Verwende die CodeQL CLI, um Folgendes zu analysieren:

  • Dynamische Sprachen, z. B. JavaScript und Python.
  • Kompilierte Sprachen wie C/C++, C# und Java.
  • Codebases, die in einer Mischung aus Sprachen geschrieben wurden.

Weitere Informationen findest du unter Installieren der CodeQL CLI auf deinem CI-System.

Hinweise:

  • Die CodeQL CLI ist für Kunden mit einer Lizenz für Advanced Security verfügbar.

  • Die CodeQL CLI ist derzeit nicht mit Nicht-Glibc-Linux-Distributionen wie (musl-basiertem) Alpine Linux kompatibel.