关于将 CodeQL CLI 用于 代码扫描
您可以使用 CodeQL CLI 在第三方持续集成 (CI) 系统中处理的代码上运行 代码扫描。 代码扫描 是一项功能,可用于分析 GitHub 仓库中的代码,以查找安全漏洞和编码错误。 分析发现的任何问题都显示在 GitHub 中。 For information, see "About 代码扫描 with CodeQL."
CodeQL CLI 是一个可用来分析代码的独立产品。 其主要用途是生成代码空间的数据库表示形式,即 CodeQL 数据库。 数据库准备就绪后,您可以进行交互式查询,或者运行一系列查询以生成一组 SARIF 格式的结果,然后将结果上传到 GitHub.com。
您也可以使用 GitHub Actions 在 GitHub 中运行 代码扫描。 有关使用操作进行 代码扫描 的信息,请参阅“为仓库设置 代码扫描”。 有关 CI 系统选项的概述,请参阅“关于 CI 系统中的 CodeQL 代码扫描”。
注: CodeQL CLI 可免费用于 GitHub.com 上维护的公共仓库,也可用于具有 Advanced Security 许可证的客户所拥有的私有仓库。 有关信息请参阅“GitHub CodeQL 条款和条件”和“CodeQL CLI”。
下载 CodeQL CLI
您应该从 https://github.com/github/codeql-action/releases 下载 CodeQL 包。 包中包含:
- CodeQL CLI 产品
- 来自 https://github.com/github/codeql 的查询和库的兼容版本
- 包中包含的所有查询的预编译版本
您应该始终使用 CodeQL 包,因为这样可以确保兼容性,并且比单独下载 CodeQL CLI 和检出 CodeQL 查询提供更好的性能。 如果您只在一个特定平台上运行 CLI,请下载相应的 codeql-bundle-PLATFORM.tar.gz
文件。 或者,您可以下载 codeql-bundle.tar.gz
,其中包含所有支持平台的 CLI 。
Note: The CodeQL package management functionality, including CodeQL packs, is currently in beta and subject to change.
在 CI 系统中设置 CodeQL CLI
您需要将 CodeQL CLI 包的全部内容提供给要运行 CodeQL 代码扫描 分析的每个 CI 服务器。 例如,您可以配置每台服务器从中央内部位置复制包并提取它。 或者,您可以使用 REST API 直接从 GitHub 获取包,以确保您从查询的最新改进中受益。 CodeQL CLI 的更新每 2-3 周发布一次。 例如:
$ wget https://github.com/github/codeql-action/releases/latest/download/codeql-bundle-linux64.tar.gz
$ tar -xvzf ../codeql-bundle-linux64.tar.gz
提取 CodeQL CLI 包后,您可以在服务器上运行 codeql
可执行文件:
- 通过执行
/<extraction-root>/codeql/codeql
,其中<extraction-root>
是您提取 CodeQL CLI 包的文件夹。 - 通过将
/<extraction-root>/codeql
添加到PATH
,以便您可以像codeql
一样运行可执行文件。
测试 CodeQL CLI 设置
提取 CodeQL CLI 包后,您可以运行以下命令来验证是否正确设置了 CLI 以创建和分析数据库。
codeql resolve qlpacks
(如果/<extraction-root>/codeql
在PATH
上)。- 或
/<extraction-root>/codeql/codeql resolve qlpacks
。
从成功的输出提取:
codeql-cpp (/<extraction-root>/codeql/qlpacks/codeql-cpp)
codeql-cpp-examples (/<extraction-root>/codeql/qlpacks/codeql-cpp-examples)
codeql-cpp-upgrades (/<extraction-root>/codeql/qlpacks/codeql-cpp-upgrades)
codeql-csharp (/<extraction-root>/codeql/qlpacks/codeql-csharp)
codeql-csharp-examples (/<extraction-root>/codeql/qlpacks/codeql-csharp-examples)
codeql-csharp-upgrades (/<extraction-root>/codeql/qlpacks/codeql-csharp-upgrades)
codeql-go (/<extraction-root>/codeql/qlpacks/codeql-go)
codeql-go-examples (/<extraction-root>/codeql/qlpacks/codeql-go-examples)
codeql-go-upgrades (/<extraction-root>/codeql/qlpacks/codeql-go-upgrades)
codeql-java (/<extraction-root>/codeql/qlpacks/codeql-java)
codeql-java-examples (/<extraction-root>/codeql/qlpacks/codeql-java-examples)
codeql-java-upgrades (/<extraction-root>/codeql/qlpacks/codeql-java-upgrades)
codeql-javascript (/<extraction-root>/codeql/qlpacks/codeql-javascript)
codeql-javascript-examples (/<extraction-root>/codeql/qlpacks/codeql-javascript-examples)
codeql-javascript-upgrades (/<extraction-root>/codeql/qlpacks/codeql-javascript-upgrades)
codeql-python (/<extraction-root>/codeql/qlpacks/codeql-python)
codeql-python-examples (/<extraction-root>/codeql/qlpacks/codeql-python-examples)
codeql-python-upgrades (/<extraction-root>/codeql/qlpacks/codeql-python-upgrades)
...
您应该检查输出是否包含预期的语言,以及 qlpack 文件的目录位置是否正确。 位置应在提取的 CodeQL CLI 捆绑包内,如上图所示为 <extraction root>
,除非您使用的是 github/codeql
的检出。 如果 CodeQL CLI 找不到预期语言的 qlpacks,请检查您是否下载了 CodeQL 捆绑包,而不是 CodeQL CLI 的独立副本。
使用 GitHub 生成用于身份验证的令牌
每个 CI 服务器都需要 GitHub 应用程序 或用于 CodeQL CLI 的个人访问令牌,才能将结果上传到 GitHub。 您必须使用具有 >security_events
写入权限的访问令牌或 GitHub 应用程序。 如果CI 服务器已使用具有此作用域的令牌从 GitHub 检出仓库, 您可以允许 CodeQL CLI 使用相同的令牌。 否则,您应该创建具有 security_events
写入权限的新令牌,然后将其添加到 CI 系统的密钥存储区。 更多信息请参阅“构建 GitHub 应用程序”和“创建个人访问令牌”。
后续步骤
您现在可以配置 CI 系统运行 CodeQL 分析、生成结果并上传到 GitHub,在那里结果将匹配分支或拉取请求并显示为 代码扫描 警报。 有关详细信息,请参阅“在 CI 系统中配置 CodeQL CLI”。