Informations sur CodeQL pour VS Code

Vous pouvez écrire, exécuter et tester des requêtes CodeQL à l’intérieur de Visual Studio Code avec l’extension CodeQL.

Dans cet article

À propos de CodeQL et de Visual Studio Code

Vous pouvez exécuter des requêtes CodeQL sur les bases de données générées à partir du code source, afin de rechercher des erreurs et des vulnérabilités de sécurité dans un codebase. Pour plus d’informations sur CodeQL code scanning, consultez « À propos de l’analyse du code avec CodeQL ».

Avec les CodeQL pour l’extension Visual Studio Code, vous pouvez :

  • Écrivez des requêtes CodeQL et des bibliothèques de prise en charge.
  • Affichez et utilisez directement les requêtes de sécurité CodeQL à partir du référentiel open source volumineux github/codeql.
  • Exécutez des requêtes sur une ou plusieurs bases de données CodeQL.
  • Suivez le flux de données par le biais d’un programme, mettant en évidence les zones potentiellement vulnérables à la sécurité.
  • Affichez, créez et modifiez tous les types de packs de requêtes ou de bibliothèques CodeQL que vous pouvez utiliser ou publier pour partager avec d’autres personnes.
  • Exécutez des tests unitaires pour les requêtes CodeQL.
  • Utilisez un éditeur dédié pour l’affichage, la création et la modification des packs de modèles CodeQL, qui sont utilisés pour étendre l’analyse standard de CodeQL.

L’extension CodeQL pour Visual Studio Code ajoute également une vue de la barre latérale CodeQL de VS Code. Il contient la liste des bases de données CodeQL, une vue d’ensemble des requêtes que vous avez exécutées dans la session active et une vue d’analyse de variantes pour l’analyse à grande échelle.

IntelliSense

L’extension fournit des fonctionnalités IntelliSense standard pour les fichiers de requête (extension .ql) et les fichiers de bibliothèque (extension .qll) que vous ouvrez dans l’éditeur VS Code. Il s’agit notamment des paramètres suivants :

  • Mise en évidence de la syntaxe
  • Options de clic droit (par ex. Atteindre la définition)
  • Suggestions d’autocomplétion
  • Informations de pointage

Pour plus d’informations sur Intellisense dans VS Code, consultez IntelliSense dans la documentation Visual Studio Code.

Vous pouvez également utiliser la commande VS Code Format document pour mettre en forme votre code en fonction du guide de style CodeQL.

La VS Code Command Palette

Vous pouvez exécuter analyser des commandes pour CodeQL pour l’extension Visual Studio Code à partir de VS Code Command Palette. Pour plus d’informations sur l’utilisation de VS Code Command Palette, consultez « Interface utilisateur » dans la documentation VS Code.

Données et télémétrie

Si vous optez spécifiquement pour autoriser GitHub à le faire, GitHub collecte les données d’utilisation et les métriques pour aider les développeurs principaux à améliorer le CodeQL pour l’extension Visual Studio Code. Pour plus d’informations, consultez « Télémétrie dans CodeQL pour Visual Studio Code ».

À propos de la licence GitHub CodeQL

Informations sur les licences : Si vous n’avez pas de licence GitHub Enterprise, en installant ce produit, vous acceptez les conditions générales de GitHub CodeQL.

GitHub CodeQL est concédé sous licence par utilisateur. Sous les restrictions de licence, vous pouvez utiliser CodeQL pour effectuer les tâches suivantes :

  • Pour faire des recherches universitaires.
  • Pour faire la démonstration des logiciels.
  • Pour tester les requêtes CodeQL publiées dans le cadre d’une licence approuvée par l’OSI dans le but de vérifier que les nouvelles versions de ces requêtes continuent de trouver les vulnérabilités appropriées.

Où « licence approuvée par l’OSI » désigne une licence logicielle open source approuvée par l’OSI (Open Source Initiative).

Si vous utilisez un codebase open source (c’est-à-dire un codebase publié sous une licence approuvée par l’OSI), vous pouvez également utiliser CodeQL pour les tâches suivantes :

  • Pour effectuer une analyse du codebase open source.
  • Si le codebase open source est hébergé et géré sur GitHub.com, pour générer des bases de données CodeQL pour ou pendant l’analyse automatisée, l’intégration continue ou la livraison continue.

CodeQL ne peut pas être utilisé pour l’analyse automatisée, l’intégration continue ou la livraison continue, que ce soit dans le cadre de processus d’ingénierie logicielle normaux ou autres, sauf dans les cas express décrits dans la présente, sauf si vous disposez d’une licence pour GitHub Advanced Security.

Pour plus d’informations sur la façon dont vous pouvez essayer GitHub Advanced Security gratuitement, consultez « Configuration d’un essai de GitHub Advanced Security ».

Étapes suivantes

Pour en savoir plus sur l’installation de CodeQL pour l’extension Visual Studio Code, consultez « Installation de CodeQL pour Visual Studio Code ».