Resumen

• 5 minutos

En este módulo, hemos descubierto lo siguiente:

• El examen de código con CodeQL puede personalizarse usando el archivo de flujo de trabajo de configuración avanzada que especifica la ubicación de las consultas, los lenguajes que se van a analizar y si se deben compilar mediante compilación automática o pasos de compilación manuales.
• GitHub admite la integración de herramientas de examen y alertas de terceros en el proceso de examen de código.
• CodeQL tiene una CLI que permite crear y analizar bases de datos sin conexión y, después, cargar los resultados en GitHub mediante un archivo SARIF.

Sin usar el examen de código de GitHub con CodeQL, sería difícil automatizarlo, así como generar solicitudes de incorporación de cambios para corregir el código vulnerable. Además, CodeQL proporciona una amplia y creciente biblioteca de consultas en varios lenguajes que le ayudan a crear código más seguro con poco esfuerzo de ingeniería.

Referencias

• GitHub CodeQL
• Examen de código de GitHub

Vínculos a recursos

1. Publicación y uso de paquetes de CodeQL
2. Uso del examen de código con el sistema de CI existente
3. jhutchings1/Create-ActionsPRs
4. nickliffen/ghas-enablement
5. Creación de conjuntos de consultas CodeQL
6. Validación de archivos SARIF
7. Lenguajes compatibles con CodeQL