Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Informationen zur CodeQL-Codeüberprüfung in deinem CI-System

In diesem Artikel

Du kannst deinen Code mit CodeQL im Continuous-Integration-System eines Drittanbieters analysieren und die Ergebnisse auf deine GitHub Enterprise Server-Instanz hochladen. Die sich daraus ergebenden code scanning-Warnungen werden zusammen mit allen Warnungen angezeigt, die innerhalb von GitHub Enterprise Server generiert wurden.

Code scanning ist für organisationseigene Repositorys in GitHub Enterprise Server verfügbar. Dieses Feature erfordert eine Lizenz für GitHub Advanced Security. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Hinweis: Dein Websiteadministrator muss code scanning für deine GitHub Enterprise Server-Instanz aktivieren, damit du dieses Feature verwenden kannst. Weitere Informationen findest du unter Konfigurieren des Codescannings für deine Appliance.

Informationen zu CodeQL code scanning auf dem CI-System

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codefehler zu finden. Alle von der Analyse identifizierten Probleme werden in GitHub Enterprise Server angezeigt. Weitere Informationen findest du unter Informationen zu Codescans mit CodeQL.

Du kannst CodeQL code scanning innerhalb von GitHub Enterprise Server mit GitHub Actions ausführen. Wenn du ein CI/CD-System (Continuous Integration und Continuous Delivery) eines Drittanbieters verwendest, kannst du alternativ die CodeQL-Analyse in deinem vorhandenen System durchführen und die Ergebnisse auf deine GitHub Enterprise Server-Instanz hochladen.

Du fügst dem Drittanbietersystem die CodeQL CLI hinzu und rufen dann das Tool auf, um Code zu analysieren und die SARIF-Ergebnisse in GitHub Enterprise Server hochzuladen. Die sich daraus ergebenden code scanning-Warnungen werden zusammen mit allen Warnungen angezeigt, die innerhalb von GitHub Enterprise Server generiert wurden.

Wenn du die Codeüberprüfung mit mehreren Konfigurationen ausführst, kann es passieren, dass eine Warnung mehrere Analyseursprünge aufweist. Wenn eine Warnung mehrere Analyseursprünge hat, kannst du den Status der Warnung für jeden Analyseursprung auf der Warnungsseite einsehen. Weitere Informationen findest du unter Informationen zu Codeüberprüfungswarnungen.

Hinweis: Das Hochladen von SARIF-Daten zur Anzeige von code scanning-Ergebnissen in GitHub Enterprise Server wird für organisationseigene Repositorys mit aktivierter GitHub Advanced Security unterstützt. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

Informationen zur CodeQL CLI

Die CodeQL CLI sind ein eigenständiges Produkt, mit dem du Code analysieren kannst. Ihr Hauptzweck besteht darin, eine Datenbankdarstellung einer Codebasis zu generieren: eine CodeQL-Datenbank. Wenn die Datenbank bereit ist, kannst du sie interaktiv abfragen oder eine Reihe von Abfragen ausführen, um Ergebnissets im SARIF-Format zu generieren und auf deine GitHub Enterprise Server-Instanz hochzuladen.

Verwende die CodeQL CLI, um Folgendes zu analysieren:

  • Dynamische Sprachen, z. B. JavaScript und Python.
  • Kompilierte Sprachen wie C/C++, C# und Java.
  • Codebases, die in einer Mischung aus Sprachen geschrieben wurden.

Weitere Informationen findest du unter Installieren der CodeQL-CLI in deinem CI-System.

Hinweise:

  • Die CodeQL CLI ist für Kunden mit einer Lizenz für Advanced Security verfügbar.

  • Die CodeQL CLI ist derzeit nicht mit Nicht-Glibc-Linux-Distributionen wie (musl-basiertem) Alpine Linux kompatibel.