Skip to main content
설명서에 자주 업데이트를 게시하며 이 페이지의 번역이 계속 진행 중일 수 있습니다. 최신 정보는 영어 설명서를 참조하세요.
All products
코드 보안

이 버전의 GitHub Enterprise는 다음 날짜에 중단되었습니다. 2023-03-15. 중요한 보안 문제에 대해서도 패치 릴리스가 이루어지지 않습니다. 성능 향상, 향상된 보안, 새로운 기능을 위해 최신 버전의 GitHub Enterprise로 업그레이드합니다. 업그레이드에 대한 도움말은 GitHub Enterprise 지원에 문의하세요.

CI 시스템에 CodeQL CLI 설치

이 문서의 내용

CodeQL CLI를 설치하고 이를 사용하여 타사 연속 통합 시스템에서 CodeQL code scanning을 수행할 수 있습니다.

는 GitHub Enterprise Server의 조직 소유 리포지토리에서 사용할 수 있습니다. 이 기능을 사용하려면 GitHub Advanced Security에 대한 라이선스가 필요합니다. 자세한 내용은 "GitHub Advanced Security 정보"을 참조하세요.

참고: 이 기능을 사용하려면 먼저 사이트 관리자가 GitHub Enterprise Server 인스턴스에 대해 code scanning을(를) 사용하도록 설정해야 합니다. 자세한 내용은 "어플라이언스에 대한 코드 검사 구성"을 참조하세요.

code scanning에 대한 CodeQL CLI 사용 정보

CodeQL CLI는 타사 CI(연속 통합) 시스템에서 처리 중인 코드에서 code scanning을 실행하는 데 사용할 수 있는 도구입니다. Code scanning는 GitHub 리포지토리의 코드를 분석하여 보안 취약성 및 코딩 오류를 찾는 데 사용하는 기능입니다. 분석으로 식별된 모든 문제는 GitHub Enterprise Server에 표시됩니다. 자세한 내용은 "CodeQL을 사용하는 코드 검사 안내. CodeQL 분석을 실행하기 위한 권장 사양(RAM, CPU 코어 및 디스크)은 "CodeQL을 실행하기 위한 권장 하드웨어 리소스"을 참조하세요.

CodeQL CLI는 코드를 분석하는 데 사용할 수 있는 독립 실행형 제품입니다. 그 주요 목적은 코드베이스, 즉 CodeQL 데이터베이스의 데이터베이스 표현을 생성하는 것입니다. 데이터베이스가 준비되면 대화형으로 쿼리하거나 쿼리 제품군을 실행하여 SARIF 형식의 결과 집합을 생성하고 결과를 GitHub Enterprise Server 인스턴스에 업로드할 수 있습니다.

또는 GitHub Actions를 사용하여 GitHub Enterprise Server 내에서 code scanning을 실행할 수 있습니다. 작업을 사용하는 code scanning에 대한 자세한 내용은 "리포지토리에 대한 코드 검사 구성. CI 시스템 옵션에 대한 개요는 "CI 시스템에서 CodeQL 코드 검사 정보"을 참조하세요.

참고:

  • CodeQL CLI는 Advanced Security 라이선스가 있는 고객이 사용할 수 있습니다.

  • CodeQL CLI는 (musl 기반) Alpine Linux와 같은 비 glibc Linux 배포판과 현재 호환되지 않습니다.

CodeQL CLI 다운로드

https://github.com/github/codeql-action/releases 에서 CodeQL 번들을 다운로드해야 합니다. 번들에는 다음이 포함됩니다.

GitHub Enterprise Server 3.4의 경우 CodeQL CLI 버전 2.7.6을(를) 사용하는 것이 좋습니다.

항상 CodeQL 번들을 사용해야 합니다. 이 번들은 호환성을 보장하고 CodeQL CLI 쿼리를 별도로 다운로드하고 CodeQL 쿼리를 체크 아웃하는 것보다 훨씬 나은 성능을 제공합니다. 하나의 특정 플랫폼에서만 CLI를 실행하는 경우 적절한 codeql-bundle-PLATFORM.tar.gz 파일을 다운로드합니다. 또는 지원되는 모든 플랫폼에 해당하는 CLI가 포함된 codeql-bundle.tar.gz를 다운로드할 수 있습니다.

CI 시스템에서 CodeQL CLI 설정

CodeQL code scanning 분석을 실행하려는 모든 CI 서버에서 CodeQL CLI 번들의 전체 콘텐츠를 사용할 수 있도록 해야 합니다. 예를 들어 중앙 내부 위치에서 번들을 복사하고 추출하도록 각 서버를 구성할 수 있습니다. 또는 REST API를 사용하여 GitHub에서 직접 번들을 가져와 쿼리에 대한 최신 개선 사항을 활용할 수 있습니다. CodeQL CLI에 대한 업데이트는 2~3주마다 릴리스됩니다. 예를 들면 다음과 같습니다.

$ wget https://HOSTNAME/github/codeql-action/releases/latest/download/codeql-bundle-linux64.tar.gz
$ tar -xvzf ./codeql-bundle-linux64.tar.gz

CodeQL CLI 번들을 추출한 후 서버에서 codeql 실행 파일을 실행할 수 있습니다.

  • /<extraction-root>/codeql/codeql을 실행합니다. 여기서 <extraction-root>는 CodeQL CLI 번들을 추출한 폴더입니다.
  • codeql처럼 실행 파일을 실행할 수 있도록 PATH/<extraction-root>/codeql를 추가합니다.

CodeQL CLI 구성 테스트

CodeQL CLI 번들을 추출한 후 다음 명령을 실행하여 CLI가 데이터베이스를 만들고 분석하도록 올바르게 구성되었는지 확인할 수 있습니다.

  • /<extraction-root>/codeqlPATH에 있는 경우 codeql resolve qlpacks입니다.
  • 그렇지 않으면 /<extraction-root>/codeql/codeql resolve qlpacks입니다.

성공적인 출력에서 추출은 다음과 같습니다.

codeql/cpp-all (/<extraction-root>/qlpacks/codeql/cpp-all/<version>)
codeql/cpp-examples (/<extraction-root>/qlpacks/codeql/cpp-examples/<version>)
codeql/cpp-queries (/<extraction-root>/qlpacks/codeql/cpp-queries/<version>)
codeql/csharp-all (/<extraction-root>/qlpacks/codeql/charp-all/<version>)
codeql/csharp-examples (/<extraction-root>/qlpacks/codeql/charp-examples/<version>)
codeql/csharp-queries (/<extraction-root>/qlpacks/codeql/charp-queries/<version>)
codeql/java-all (/<extraction-root>/qlpacks/codeql/java-all/<version>)
codeql/java-examples (/<extraction-root>/qlpacks/codeql/java-examples/<version>)
codeql/java-queries (/<extraction-root>/qlpacks/codeql/java-queries/<version>)
codeql/javascript-all (/<extraction-root>/qlpacks/codeql/javascript-all/<version>)
codeql/javascript-examples (/<extraction-root>/qlpacks/codeql/javascript-examples/<version>)
codeql/javascript-queries (/<extraction-root>/qlpacks/codeql/javascript-queries/<version>)
codeql/python-all (/<extraction-root>/qlpacks/codeql/python-all/<version>)
codeql/python-examples (/<extraction-root>/qlpacks/codeql/python-examples/<version>)
codeql/python-queries (/<extraction-root>/qlpacks/codeql/python-queries/<version>)
codeql/ruby-all (/<extraction-root>/qlpacks/codeql/ruby-all/<version>)
codeql/ruby-examples (/<extraction-root>/qlpacks/codeql/ruby-examples/<version>)
codeql/ruby-queries (/<extraction-root>/qlpacks/codeql/ruby-queries/<version>)
...

출력에 예상된 언어가 포함되어 있고 qlpack 파일의 디렉터리 위치가 올바른지 확인해야 합니다. github/codeql의 체크 아웃을 사용하지 않는 한, 위치는 위에서 <extraction root>로 표시된 추출된 CodeQL CLI 번들 내에 있어야 합니다. CodeQL CLI에서 예상 언어에 대한 qlpack을 찾을 수 없는 경우 CodeQL 번들을 다운로드했는지 확인하고 CodeQL CLI의 독립 실행형 복사본이 아닌지 확인합니다.

GitHub Enterprise Server을 사용한 인증용 토큰 생성

각 CI 서버에는 CodeQL CLI에서 GitHub Enterprise Server에 결과를 업로드하는 데 사용할 GitHub App 또는 personal access token이(가) 필요합니다. 액세스 토큰 또는 security_events 쓰기 권한이 있는 GitHub App을 사용해야 합니다. CI 서버가 이미 이 범위의 토큰을 사용하여 GitHub Enterprise Server의 리포지토리를 체크 아웃하는 경우 잠재적으로 CodeQL CLI에서 동일한 토큰을 사용하도록 허용할 수 있습니다. 그렇지 않으면 security_events 쓰기 권한이 있는 새 토큰을 만들고 이를 CI 시스템의 비밀 저장소에 추가해야 합니다. 자세한 내용은 "GitHub 앱 만들기" 및 "개인용 액세스 토큰 만들기.

다음 단계

이제 CodeQL 분석을 실행하고, 결과를 생성하고, 결과가 분기 또는 끌어오기 요청과 일치하고 code scanning 경고로 표시되는 GitHub Enterprise Server에 업로드하도록 CI 시스템을 구성할 준비가 되었습니다. 자세한 내용은 "CI 시스템에서 CodeQL CLI 구성"을 참조하세요.