Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
 

 

Сведения о проверке кода CodeQL в системе CI

In this article

Вы можете проанализировать код с помощью CodeQL в сторонней системе непрерывной интеграции и отправить результаты в GitHub.com. Полученные оповещения code scanning отображаются вместе с любыми другими оповещениями, которые создаются в GitHub.

Code scanning доступно во всех открытых репозиториях на GitHub.com. Code scanning также доступно в частных репозиториях, принадлежащих организациям, которые используют GitHub Enterprise Cloud и имеют лицензию на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Сведения о CodeQL code scanning в системе CI

Code scanning — это функция, применяемая для анализа кода в репозитории GitHub на предмет уязвимостей системы безопасности и ошибок кодирования. Все проблемы, обнаруженные в результате анализа, отображаются в GitHub. Дополнительные сведения см. в статье Сведения о code scanning с CodeQL.

Можно запустить CodeQL code scanning в GitHub с помощью GitHub Actions. Кроме того, если вы используете стороннюю систему непрерывной интеграции или непрерывной поставки и развертывания (CI/CD), вы можете выполнить анализ CodeQL в существующей системе и отправить результаты в GitHub.com.

Вы добавляете CodeQL CLI в свою стороннюю систему, а затем вызываете средство для анализа кода и отправляете SARIF-файл с результатами в GitHub. Полученные оповещения code scanning отображаются вместе с любыми другими оповещениями, которые создаются в GitHub. Дополнительные сведения см. в разделе Сведения о проверке кода CodeQL в системе CI.

При сканировании кода с использованием нескольких конфигураций можно получить оповещение с несколькими источниками анализа. Если оповещение имеет несколько источников анализа, состояние оповещения для каждого источника анализа можно посмотреть на странице оповещения. Дополнительные сведения см. в разделе Сведения об источниках анализа.

Примечание. Передача данных SARIF для отображения как code scanning приводит к тому, что GitHub поддерживается для репозиториев, принадлежащих организации, с включенными GitHub Advanced Security и для общедоступных репозиториев на GitHub.com. Дополнительные сведения см. в статье Управление параметрами безопасности и анализа для репозитория.

Сведения о CodeQL CLI

CodeQL CLI является отдельным продуктом, который можно использовать для анализа кода. Его основная задача — создание представления базы данных для базы кода, базы данных CodeQL. Когда база данных будет готова, вы можете отправить к ней запрос в интерактивном режиме или выполнить набор запросов, чтобы создать набор результатов в формате SARIF и отправить результаты в GitHub.com.

Используйте CodeQL CLI для анализа следующих параметров:

  • Динамические языки, например JavaScript и Python.
  • Скомпилированные языки, например C/C++, C#, Go, и Java.
  • Базы кода написаны на нескольких языках.

Дополнительные сведения см. в статье Установка CodeQL CLI в системе CI.

Примечания.

  • CodeQL CLI бесплатно для использования в общедоступных репозиториях. Кроме того, CodeQL CLI доступна в частных репозиториях, принадлежащих организациям, которые используют GitHub Enterprise Cloud и имеют лицензию на GitHub Advanced Security. Дополнительные сведения см. в разделе "GitHub CodeQL Условия" и "CodeQL CLI".
  • В настоящее время CodeQL CLI несовместим с дистрибутивами Linux не на основе glibc, такими как Alpine Linux (на основе musl).