Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
GitHub AE is currently under limited release.

Informationen zur CodeQL-Codeüberprüfung in deinem CI-System

Du kannst deinen Code mit CodeQL im Continuous-Integration-System eines Drittanbieters analysieren und die Ergebnisse auf your enterprise hochladen. Die sich daraus ergebenden code scanning-Warnungen werden zusammen mit allen Warnungen angezeigt, die innerhalb von GitHub AE generiert wurden.

Code scanning ist für organisationseigene Repositorys in GitHub AE verfügbar. Dies ist ein GitHub Advanced Security-Feature (kostenlos während der Betaphase). Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

Informationen zu CodeQL code scanning auf dem CI-System

Code scanning ist ein Feature, das du zum Analysieren des Codes in einem GitHub-Repository verwendest, um Sicherheitsrisiken und Codierungsfehler zu finden. Alle von der Analyse identifizierten Probleme werden in GitHub AE angezeigt. Weitere Informationen findest du unter Informationen zu code scanning mit CodeQL.

Du kannst CodeQL code scanning innerhalb von GitHub AE mit GitHub Actions ausführen. Wenn du ein CI/CD-System (Continuous Integration und Continuous Delivery) eines Drittanbieters verwendest, kannst du alternativ die CodeQL-Analyse in deinem vorhandenen System durchführen und die Ergebnisse auf your enterprise hochladen.

Du fügst dem Drittanbietersystem die CodeQL CLI hinzu und rufen dann das Tool auf, um Code zu analysieren und die SARIF-Ergebnisse in GitHub AE hochzuladen. Die sich daraus ergebenden code scanning-Warnungen werden zusammen mit allen Warnungen angezeigt, die innerhalb von GitHub AE generiert wurden.

Hinweis: Das Hochladen von SARIF-Daten zur Anzeige von code scanning-Ergebnissen in GitHub AE wird für organisationseigene Repositorys mit aktivierter GitHub Advanced Security unterstützt. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.

Informationen zur CodeQL CLI

Die CodeQL CLI sind ein eigenständiges Produkt, mit dem du Code analysieren kannst. Ihr Hauptzweck besteht darin, eine Datenbankdarstellung einer Codebasis zu generieren: eine CodeQL-Datenbank. Wenn die Datenbank bereit ist, kannst du sie interaktiv abfragen oder eine Reihe von Abfragen ausführen, um Ergebnissets im SARIF-Format zu generieren und auf your enterprise hochzuladen.

Verwende die CodeQL CLI, um Folgendes zu analysieren:

  • Dynamische Sprachen, z. B. JavaScript und Python.
  • Kompilierte Sprachen wie C/C++, C# und Java.
  • Codebases, die in einer Mischung aus Sprachen geschrieben wurden.

Weitere Informationen findest du unter Installieren der CodeQL CLI auf deinem CI-System.

Hinweise:

  • Die CodeQL CLI ist für Kunden mit einer Lizenz für Advanced Security verfügbar.

  • Die CodeQL CLI ist derzeit nicht mit Nicht-Glibc-Linux-Distributionen wie (musl-basiertem) Alpine Linux kompatibel.