Introducción
El examen de código mediante CodeQL proporciona un método extensible para automatizar el examen de vulnerabilidades en todos los repositorios de GitHub de las organizaciones. Es importante comprender cómo funciona la herramienta y cuáles son sus características para implementar mejor el examen de código para satisfacer las necesidades de seguridad del código. También deberá comprender las distintas opciones de configuración y cómo implementar y mantener una canalización de análisis de código para configurar e implementar el análisis de código correctamente.
En este módulo, repasaremos la herramienta de análisis estático de CodeQL y cómo la característica de examen de código de GitHub la usa para automatizar el examen de vulnerabilidades. También aprenderemos a personalizar un flujo de trabajo de examen de código que usa CodeQL, a incluir consultas adicionales y a adaptar el flujo de trabajo a repositorios que tienen varios lenguajes.
Objetivos de aprendizaje
Al término de este módulo, sabrá hacer lo siguiente:
- Comprender CodeQL y cómo analiza el código.
- Comprender QL, un lenguaje de programación lógico único.
- Configurar el examen de código basado en CodeQL en un repositorio de GitHub.
- Hacer referencia a una consulta de CodeQL personalizada.
- Configurar la matriz de lenguajes en un flujo de trabajo de CodeQL.
- Aprender a usar la CLI de CodeQL para generar resultados de examen de código y cargarlos en GitHub.
- Implementar pasos de compilación personalizados.
Prerrequisitos
- Una cuenta empresarial de GitHub con una licencia GitHub Advanced Security
- Permisos necesarios para administrar el repositorio
- Conocimientos de la característica de examen de código de GitHub Advanced Security
- Conocimientos de Acciones de GitHub