Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
В настоящее время GitHub AE находится в ограниченном выпуске.
All products
Безопасность кода

Сведения о проверке кода CodeQL в системе CI

Выполнение проверки кода CodeQL в CI1 из 4 в схеме обучения
Следующая:Установка CodeQL CLI в системе CI

В этой статье

Вы можете проанализировать код с помощью CodeQL в сторонней системе непрерывной интеграции и отправить результаты в ваше предприятие. Полученные оповещения code scanning отображаются вместе с любыми другими оповещениями, которые создаются в GitHub AE.

Code scanning доступен для принадлежащих организации репозиториев в GitHub AE. Это функция входит в состав GitHub Advanced Security (на этапе бета-версии предоставляется бесплатно). Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Сведения о CodeQL code scanning в системе CI

Code scanning — это функция, используемая для анализа кода в репозитории GitHub для поиска уязвимостей системы безопасности и ошибок кодирования. Все проблемы, обнаруженные в результате анализа, отображаются в GitHub AE. Дополнительные сведения см. в разделе О проверке кода с помощью CodeQL.

Можно запустить CodeQL code scanning в GitHub AE с помощью GitHub Actions. Кроме того, если вы используете стороннюю систему непрерывной интеграции или непрерывной поставки и развертывания (CI/CD), можно выполнить анализ CodeQL в существующей системе и отправить результаты в ваше предприятие.

Вы добавляете CodeQL CLI в свою стороннюю систему, а затем вызываете средство для анализа кода и отправляете SARIF-файл с результатами в GitHub AE. Полученные оповещения code scanning отображаются вместе с любыми другими оповещениями, которые создаются в GitHub AE.

При выполнении проверки кода с использованием нескольких конфигураций оповещение иногда будет иметь несколько источников анализа. Если оповещение имеет несколько источников анализа, состояние оповещения для каждого источника анализа можно посмотреть на странице оповещения. Дополнительные сведения см. в разделе О предупреждениях о сканировании кода.

Примечание. Передача данных SARIF для отображения как code scanning приводит к тому, что GitHub AE поддерживается для репозиториев, принадлежащих организации, с включенными GitHub Advanced Security . Дополнительные сведения см. в разделе Управление параметрами безопасности и анализа для репозитория.

Сведения о CodeQL CLI

CodeQL CLI является отдельным продуктом, который можно использовать для анализа кода. Его основная задача — создание представления базы данных для базы кода, базы данных CodeQL. Когда база данных будет готова, вы можете отправить к ней запрос в интерактивном режиме или выполнить набор запросов, чтобы создать набор результатов в формате SARIF и отправить результаты в ваше предприятие.

Используйте CodeQL CLI для анализа следующих параметров:

  • Динамические языки, например JavaScript и Python.
  • Скомпилированные языки, например C/C++, C#, и Java.
  • Базы кода написаны на нескольких языках.

Дополнительные сведения см. в разделе Установка CodeQL CLI в системе CI.

Примечания.

  • CodeQL CLI доступно клиентам с лицензией Advanced Security.

  • В настоящее время CodeQL CLI несовместим с дистрибутивами Linux не на основе glibc, такими как Alpine Linux (на основе musl).

СледующаяУстановка CodeQL CLI в системе CI