GitHub의 CodeQL 분석

코드 스캔 활성화 - GitHub Actions를 사용한 CodeQL 분석

참고: 코드 스캔은 현재 베타 버전입니다. 이것을 사용하여 대기자 명단에 등록하십시오link.

시연을 위해 알려진 보안 취약성과 코딩 오류가 있는 리포지토리를 사용할 것입니다. 이 중 이전은 GitHub Native Dependabot 애플리케이션을 사용하여 태킹되었습니다. 해당 블로그를 보려면 아래 링크를 방문하십시오.

Dependabot 미리 보기에서 GitHub 기본 Dependabot 앱으로 전환 | 작성자: Nishkarsh Raj | 2020년 8월 | 중간

Nishkarsh Raj ・ 2020년 8월 2일 ・ 4분 읽기 중간

니시카르쉬라지 / 메이븐 사용 CMD

명령줄을 통해 Apache Maven 빌드 도구를 사용하여 Java로 프로젝트를 생성하고 GitHub Actions를 사용하여 원격 Docker 엔진에서 빌드합니다.

1단계) 리포지토리에서 보안 탭을 클릭합니다.

2단계) 코드 스캔 알림에서 - 코드 스캔을 클릭합니다.

3단계) CodeQL 분석 GitHub 작업 설정

GitHub Actions 작업 YML 스크립트를 살펴보고 몇 가지 중요한 사항을 이해해 보겠습니다.

작업이 분석을 수행하는 시기:

1. 이벤트 기반:

i. Push - Push event on master branch

ii. Pull_request - Pull Request on master or any sub branch.

2. Time Driven: Cron 일정을 생성할 수 있습니다. Cron은 작업 및 이벤트를 예약하는 데 사용되는 오픈 소스 패키지입니다. Cron 작업에 대해 자세히 알아보려면 다음을 사용하십시오link.

CodeQL 엔진이 리포지토리를 처음으로 분석하는 데 몇 분 정도 걸립니다. 작업 작업이 성공적으로 완료될 때까지 기다리십시오.

4단계) GitHub 기본 알림 대시보드 보기

만세! 💗

이 저장소에는 오류나 보안 문제가 없습니다.

3부에서는 데모 리포지토리를 만들고 의도적인 코드 및 보안 오류를 추가하고 CodeQL 엔진이 어떻게 도움이 되는지 살펴보겠습니다. 😄

참조

https://docs.github.com/en/github/finding-security-vulnerabilities-and-errors-in-your-code/enabling-code-scanning-for-a-repository

아디오스

게시물은 소프트웨어 세계에서 최신 기술과 유행하는 기술에 대한 최신 팁과 요령에 대한 인식을 확산하기 위한 것입니다.

이 작업이 마음에 드시면 Dev, GitHub 및 에서 저를 팔로우하여 지원해 주세요. 건배! ❤️

Reference

이 문제에 관하여(GitHub의 CodeQL 분석), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/nishkarshraj/codeql-analysis-on-github-3d5b

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다