Skip to main content

現在、GitHub AE は限定的リリースです。

CodeQL クエリによるコード分析

コードベースから抽出された CodeQL データベースに対してクエリを実行できます。

GitHub CodeQL は、インストール時にユーザーごとにライセンスされます。 CodeQL は、ライセンスの制限の下で特定のタスクでのみ使用できます。 詳しくは、「CodeQL CLI について」を参照してください。

GitHub Advanced Security ライセンスがある場合は、CodeQL を使用して、自動分析、継続的インテグレーション、継続的デリバリーを行うことができます。 詳しくは、「GitHub Advanced Security について」を参照してください。

CodeQL CLI でのデータベースの分析について

コードベースを分析するには、コードから抽出された CodeQL データベースに対してクエリを実行します。

CodeQL 分析では、ソース コードで警告またはパスとして表示できる解釈された結果 が生成されます。 database analyze で実行するクエリの記述について詳しくは、「CodeQL CLI でのカスタム クエリの使用」を参照してください。

その他のクエリ実行コマンド

database analyze で実行されるクエリには、厳密なメタデータ要件があります。 次のプラミング レベルのサブコマンドを使用してクエリを実行することもできます。

  • database run-queries を実行すると、解釈されていない結果を BQRS と呼ばれる中間バイナリ形式で出力します

  • クエリの実行 を実行すると、BQRS ファイルが出力されるか、結果テーブルがコマンド ラインに直接出力されます。 コマンド ラインで結果を直接表示すると、CLI を使用した反復クエリ開発に役立つ場合があります。

これらのコマンドを使用して実行されるクエリのメタデータ要件は同じではありません。 ただし、人間が判読できるデータを保存するには、bqrs decode プラミング サブコマンドを使って各 BQRS 結果ファイルを処理する必要があります。 そのため、ほとんどのユース ケースでは、database analyze を使用して、解釈された結果を直接生成するのが最も簡単です。

前提条件

分析を開始する前に、次のことを行う必要があります。

codeql database analyze を実行する最も簡単な方法は、CodeQL パックを使用することです。 また、CodeQL リポジトリのローカル チェックアウトからのクエリを使用してコマンドを実行することもできます。これは、CodeQL コア クエリをカスタマイズする場合に実行することがあります。

実行中 codeql database analyze

database analyze を実行すると、次のようになります。

  1. 必要に応じて、ローカルで使用できない参照される CodeQL パッケージがダウンロードされます。
  2. CodeQL データベースで実行することで、1 つまたは複数のクエリ ファイルが実行されます。
  3. 特定のクエリ メタデータに基づいて結果が解釈され、ソース コード内の正しい場所に警告を表示できるようにします。
  4. 診断およびサマリー クエリの結果が標準出力に報告されます。

次のコマンドを実行して、データベースを分析できます。

codeql database analyze <database> --format=<format> --output=<output> <query-specifiers>...

注: 1 つのコミットに対して複数の CodeQL データベースを分析する場合、このコマンドによって生成されるそれぞれの結果セットに対して SARIF カテゴリを指定する必要があります。 結果をGitHub AEにアップロードする際には、code scanningはこのカテゴリを使ってそれぞれの言語に対する結果を別々に保存します。 この操作を忘れた場合は、各アップロードで前の結果が上書きされます。

codeql database analyze <database> --format=<format> \
    --sarif-category=<language-specifier> --output=<output> \
    <queries>

<database>--format--output を指定する必要があります。 目的の分析に合わせて追加のオプションを指定できます。

オプション必須使用法
<database>分析するCodeQLデータベースを含むディレクトリのパスを指定します。
<packs,queries>実行する CodeQL パックまたはクエリを指定します。 code scanning に使用される標準クエリを実行するには、このパラメーターを省略します。 CodeQL CLI バンドルに含まれている他のクエリ スイートを確認する場合は、/<extraction-root>/qlpacks/codeql/<language>-queries/codeql-suites を参照してください。 独自のクエリ スイートの作成については、CodeQL CLI 用ドキュメントの「CodeQL クエリ スイートの作成」をご覧ください。
--format分析中に生成される結果ファイルの形式を指定します。 CSV、SARIF、グラフ形式など、さまざまな形式がサポートされています。 GitHub へのアップロードの場合、これは sarif-latest である必要があります。 詳しくは、「Code scanningの SARIF サポート」を参照してください。
--outputSARIF 結果ファイルを保存する場所を指定します。
--sarif-category単一データベースの分析の場合は省略可能です。 リポジトリ内の単一コミットに対して複数のデータベースを分析する場合に言語を定義するために必要です。

この分析の SARIF 結果ファイルに含めるカテゴリを指定します。 カテゴリは、同じツールとコミットに対する複数の分析を区別するために使用されますが、異なる言語またはコードの異なる部分で実行されます。
--sarif-add-query-help分析で使用されるカスタム クエリに対して使用可能なマークダウン レンダリング クエリ ヘルプを含める場合に使用します。 関連するクエリによってアラートが生成された場合は、SARIF 出力に含まれるカスタム クエリのクエリ ヘルプがすべてコード スキャン UI に表示されます。 詳しくは、「SARIF ファイルにカスタム CodeQL クエリのクエリ ヘルプを含める」をご覧ください。
--threads複数のスレッドを使用してクエリを実行する場合に使用します。 既定値は 1 です。 クエリの実行を高速化するために、より多くのスレッドを指定できます。 スレッドの数を論理プロセッサの数に設定するには、0 を指定します。
--verboseデータベース作成プロセスから分析プロセスと診断データに関する詳細情報を取得するために使用します。

データベースのアップグレード

CodeQL CLI v2.3.3 以前で作成されたデータベースの場合は、新しいバージョンの CodeQL CLI で分析を実行する前に、データベースを明示的にアップグレードする必要があります。 この手順が必要な場合は、database analyze の実行時にデータベースをアップグレードする必要があることを示すメッセージが表示されます。

CodeQL CLI v2.3.4 以降によって作成されたデータベースの場合は、CLI で必要なアップグレードが暗黙的に実行されます。 アップグレード コマンドを明示的に実行する必要はありません。

データベースを分析するときに使うことができるすべてのオプションについて詳しくは、「database analyze」をご覧ください。

CodeQL データベースの分析の基本的な例

この例では、/codeql-dbs/example-repo で格納されている CodeQL データベースを分析し、結果を SARIF ファイル (/temp/example-repo-js.sarif) として保存します。 --sarif-category を使用して、結果を JavaScript として識別する追加の情報を SARIF ファイルに含めます。 これは、リポジトリ中の単一のコミットに対して分析するCodeQLデータベースが複数ある場合に不可欠です。

$ codeql database analyze /codeql-dbs/example-repo \
    javascript-code-scanning.qls --sarif-category=javascript \
    --format=sarif-latest --output=/temp/example-repo-js.sarif

> Running queries.
> Compiling query plan for /codeql-home/codeql/qlpacks/codeql-javascript/AngularJS/DisablingSce.ql.
...
> Shutting down query evaluator.
> Interpreting results.

データベース分析の実行例

次の例は、CodeQL パックを使用して database analyze を実行する方法と、CodeQL リポジトリのローカル チェックアウトを使用する方法を示しています。 これらの例では、CodeQL リポジトリのローカル コピーの兄弟であるディレクトリに CodeQL データベースが作成されていることを前提としています。

単一クエリの実行

JavaScript コードベースの CodeQL データベースに対して単一のクエリを実行する場合は、データベースを含むディレクトリから次のコマンドを使用できます。

codeql database analyze --download <javascript-database> codeql/javascript-queries:Declarations/UnusedVariable.ql --format=csv --output=js-analysis/js-results.csv

このコマンドでは、未使用の変数、インポート、関数、またはクラスに関連する潜在的なバグを検出するシンプルなクエリを実行します。これは、CodeQL リポジトリに含まれる JavaScript クエリの 1 つです。 同様のパスのスペース区切りリストを指定することで、複数のクエリを実行できます。

分析により、新しいディレクトリ (js-analysis) に CSV ファイル (js-results.csv) が生成されます。

または、CodeQL リポジトリがチェックアウトされている場合は、クエリへのパスを直接指定することで、同じクエリを実行できます。

codeql database analyze <javascript-database> ../ql/javascript/ql/src/Declarations/UnusedVariable.ql --format=csv --output=js-analysis/js-results.csv

database analyze コマンドを使用して、独自のカスタム クエリを実行することもできます。 CodeQL CLI で使う目的でクエリを準備する方法については、「CodeQL CLI でのカスタム クエリの使用」をご覧ください。

ディレクトリ内のすべてのクエリの実行

ディレクトリ内にあるすべてのクエリは、個々のクエリ ファイルをすべて一覧表示するのではなく、ディレクトリ パスを指定することで実行できます。 パスは再帰的に検索されるため、サブフォルダーに含まれるすべてのクエリも実行されます。

重要

database analyze の実行中にコア CodeQL クエリ パックのルートを指定することは避けてください。コマンドで使用するように設計されていない特殊ないくつかのクエリが含まれている可能性があるためです。 代わりに、クエリ パックを実行して、パックの既定のクエリを分析に含めるか、コード スキャン クエリ スイートのいずれかを実行します。

たとえば、codeql/python-queries クエリ パック内の Functions ディレクトリに含まれるすべての Python クエリを実行するには、次のように実行します。

codeql database analyze <python-database> codeql/python-queries:Functions --format=sarif-latest --output=python-analysis/python-results.sarif --download

または、CodeQL リポジトリがチェックアウトされている場合は、ディレクトリへのパスを直接指定して、同じクエリを実行できます。

codeql database analyze <python-database> ../ql/python/ql/src/Functions/ --format=sarif-latest --output=python-analysis/python-results.sarif

分析が完了すると、SARIF 結果ファイルが生成されます。 --format=sarif-latest を指定すると、CodeQL でサポートされている最新の SARIF 仕様に従って結果が確実に書式設定されます。

クエリ スイートの実行

C/C++ コードベースの CodeQL データベースに対してクエリ スイートを実行する場合は、データベースを含むディレクトリから次のコマンドを使用できます。

codeql database analyze <cpp-database> codeql/cpp-queries:codeql-suites/cpp-code-scanning.qls --format=sarifv2.1.0 --output=cpp-results.sarif --download

このコマンドでは、codeql/cpp-queries CodeQL クエリ パックをダウンロードし、分析を実行し、すべてのバージョンの GitHub でサポートされている SARIF バージョン 2.1.0 形式のファイルを生成します。 このファイルは、codeql github upload-results またはコード スキャン API を実行して、GitHub にアップロードできます。 詳細については、「CIシステムでのCodeQL CLIの設定」または「Code Scanning」を参照してください。

CodeQL クエリ スイートは、ディレクティブを使用して、特定のメタデータ プロパティに基づいて実行するクエリを選択する .qls ファイルです。 標準の CodeQL パックには、コード スキャンで使用されるクエリ スイートの場所を指定するメタデータがあるため、CodeQL CLI でこれらのスイート ファイルを自動的に検索する場所が認識されており、ユーザーがコマンド ラインで完全なパスを指定する必要はありません。 詳しくは、「CodeQL クエリ スイートの作成」を参照してください。

カスタム クエリ スイートの作成の詳細については「CodeQL クエリ スイートの作成」を参照してください。

診断およびサマリー情報

CodeQL データベースを作成すると、エクストラクターにより診断データがデータベースに格納されます。 コード スキャン クエリ スイートには、この診断データをレポートし、サマリー メトリックを計算するための追加のクエリが含まれています。 database analyze コマンドが完了すると、CLI によって結果ファイルが生成され、診断およびサマリー データが標準出力に報告されます。 SARIF 出力を生成することを選択した場合は、追加データが SARIF ファイルにも含まれます。

分析で予想よりも少ない標準クエリの結果が見つかった場合は、診断およびサマリー クエリの結果を確認して、CodeQL データベースが、分析するコードベースの適切な表現である可能性があるかどうかを確認します。

GitHub のコード スキャン ワークフローへの CodeQL パックの統合

コード スキャンのセットアップでは、CodeQL クエリ パックを使用できます。 これにより、さまざまなソースによって発行されたクエリ パックを選択し、それらを使用してコードを分析できます。 詳しくは、CodeQL アクションでの CodeQL クエリ パックの使用に関するページ、または CI システムでの CodeQL クエリ パックのダウンロードと使用に関するページをご覧ください。

SARIF ファイルにカスタム CodeQL クエリのクエリ ヘルプを含める

CodeQL CLI を使用してサードパーティの CI/CD システムでコード スキャン分析を実行する場合は、分析中に生成された SARIF ファイルにカスタム クエリのクエリ ヘルプを含めることができます。 SARIF ファイルを GitHub にアップロードした後、カスタム クエリによって生成された警告のコード スキャン UI にクエリ ヘルプが表示されます。

CodeQL CLI v2.7.1 以降では、codeql database analyze の実行時に --sarif-add-query-help オプションを指定することで、SARIF ファイルに Markdown レンダリング クエリ ヘルプを含めることができます。 詳しくは、「CIシステムでのCodeQL CLIの設定」をご覧ください。

カスタム クエリのクエリ ヘルプを Markdown ファイルに直接記述し、対応するクエリと共に保存できます。 または、標準の CodeQL クエリとの一貫性を保つために、クエリ ヘルプを .qhelp 形式で記述することもできます。 .qhelp ファイルに書き込まれたクエリ ヘルプは SARIF ファイルに含めることはできません。また、コード スキャンでは処理できないため、分析を実行する前に Markdown に変換する必要があります。 詳しくは、「クエリ ヘルプ ファイル」と「クエリ ヘルプ ファイルのテスト」をご覧ください。

結果

分析結果は、SARIF や CSV など、さまざまな形式で保存できます。

SARIF 形式は、さまざまな種類の静的分析ツールの出力を表すように設計されています。 詳しくは、「CodeQL CLI SARIF 出力」をご覧ください。

結果を CSV 形式で生成することを選択した場合、出力ファイル内の各行は警告に対応します。 各行は、次の情報を含むコンマ区切りリストです。

プロパティ説明
名前結果を識別したクエリの名前。Inefficient regular expression
説明クエリの説明。A regular expression that requires exponential time to match certain inputs can be a performance bottleneck, and may be vulnerable to denial-of-service attacks.
重大度クエリの重大度。error
Message警告メッセージ。This part of the regular expression may cause exponential backtracking on strings containing many repetitions of '\\\\'.
パス警告を含むファイルのパス。/vendor/codemirror/markdown.js
開始行警告をトリガーしたコードが開始されるファイルの行。617
開始列警告コードの開始を示す開始行の列。 1 に等しい場合は含まれません。32
終了行警告をトリガーしたコードが終了するファイルの行。 開始行と同じ値の場合は含まれません。64
終了列使用可能な場合は、警告コードの終了を示す終了行の列。 それ以外の場合は、終了行が繰り返されます。617

結果ファイルは、独自のコード レビューまたはデバッグ インフラストラクチャに統合できます。 たとえば、SARIF ファイル出力を使用すると、IDE 用の SARIF ビューアー プラグインを使って、ソース コード内の正しい場所にある警告を強調表示できます。

参考資料