組み込みの CodeQL クエリ スイート

この記事の内容

CodeQL code scanning セットアップで使用するさまざまな組み込み CodeQL クエリ スイートから選ぶことができます。

Code scanning は、GitHub.com のすべてのパブリック リポジトリに使用できます。 Code scanning は、GitHub Enterprise Cloud を使用していて GitHub Advanced Security のライセンスを持つ Organization によって所有されるプライベート リポジトリでも使用できます。 詳しくは、「GitHub Advanced Security について」を参照してください。

CodeQL クエリ スイートについて

CodeQL code scanningでは、CodeQL クエリ スイートと呼ばれるCodeQL クエリの特定のグループを選んで、コードに対して実行できます。 GitHub から、次の組み込みクエリ スイートを使用できます。

  • default クエリ スイート。
  • security-extended クエリ スイート。 このスイートは、GitHub では "拡張" クエリ スイートと呼ばれます。

現在、code scanningの既定の設定では、default クエリ スイートと security-extended クエリ スイートの両方を使用できます。 さらに、Organization 所有者とセキュリティ マネージャーは、Organization 全体で既定のセットアップで使うクエリ スイートを推奨できます。 個々のリポジトリに対する既定のセットアップの構成について詳しくは、「コード スキャンの既定セットアップの構成」を参照してください。 大規模な既定のセットアップの構成とクエリ スイートの推奨について詳しくは、「大規模なコード スキャンの既定のセットアップを構成する」を参照してください。

カスタム クエリ スイートを使用するには、CodeQL code scanningの詳細設定を構成する必要があります。 高度なセットアップとクエリ スイートの作成の詳細については、「Built-in CodeQL query suites」と「CodeQL クエリ スイートの作成」を参照してください。

組み込みの CodeQL クエリ スイート

組み込みの CodeQL クエリ スイートの defaultsecurity-extended は、GitHub によって作成および管理されます。 これらのクエリ スイートは、CodeQL でサポートされているすべての言語で使用できます。 CodeQL の対応言語について詳しくは、「CodeQL によるコード スキャンについて」をご覧ください。

default クエリ スイート

  • default クエリ スイートは、GitHub の CodeQL code scanningで既定で実行されるクエリのグループです。
  • default クエリ スイートのクエリは非常に正確であり、誤検知のcode scanningの結果がほとんど返されません。 security-extended クエリ スイートと比較して、default スイートからは、低信頼のcode scanningの結果はほとんど返されません。
  • このクエリ スイートは、code scanningの既定の設定で使用できます。

security-extended クエリ スイート

  • security-extended クエリ スイートは、default クエリ スイート内のすべてのクエリと、精度と重大度がやや低い追加のクエリで構成されます。
  • default クエリ スイートと比較して、security-extended スイートから、誤検知のcode scanningの結果が多く返される場合があります。
  • このクエリ スイートは、code scanning の既定のセットアップで使うことができ、GitHub の "拡張" クエリ スイートと呼ばれます。

参考資料