Skip to main content

Расширенная настройка интерфейса командной строки CodeQL

Вы можете изменить настройку CodeQL CLI, чтобы использовать локальный возврат репозитория CodeQL для анализа, настроить несколько версий CodeQL CLI, а также проанализировать базы данных, скачанные из GitHub.

Кто может использовать эту функцию?

CodeQL доступен для следующих типов репозитория:

О расширенной настройке CodeQL CLI

Если вы планируете использовать CodeQL для более чем простого сканирования кода, вы можете использовать расширенную настройку CodeQL CLI.

  • Если вы хотите внести свой вклад в открытый код общих запросов CodeQL, вы можете напрямую работать с исходным кодом CodeQL.
  • Если вы хотите использовать последние функции CodeQL для создания оповещений сканирования кода для базы кода, но также хотите проанализировать другую базу кода, совместимую только с определенной версией CodeQL CLI, может потребоваться установить несколько версий CodeQL CLI.
  • Если вы изучаете или разрабатываете запросы, вы можете скачать интересные или уникальные базы данных из GitHub.com.

Сведения о самой простой настройке данных CodeQL CLIсм. в разделе "Настройка интерфейса командной строки CodeQL".

Извлечение исходного кода CodeQL

Некоторые пользователи предпочитают работать с источниками запросов CodeQL непосредственно для работы или участия в общих запросах с открытым исходным кодом. Для этого рекомендуется выполнить следующие действия.

1. Скачайте архив tar CodeQL CLI

Пакет скачивания CodeQL CLI — это архив tar, содержащий средства, скрипты и различные файлы данных CodeQL. Если у вас нет лицензии GitHub Enterprise , скачав этот архив, вы согласны с GitHub CodeQL условий.

Загрузите пакет CodeQL из https://github.com/github/codeql-action/releases. Содержимое пакета:

  • Продукт CodeQL CLI
  • совместимая версия запросов и библиотек из https://github.com/github/codeql;
  • предварительно скомпилированные версии всех запросов, включенных в пакет.

Всегда следует использовать пакет CodeQL . Это обеспечивает совместимость и обеспечивает гораздо более высокую производительность, чем отдельная загрузка запросов CodeQL CLI и извлечении запросов CodeQL. Если вы будете запускать CLI только на одной конкретной платформе, скачайте соответствующий файл codeql-bundle-PLATFORM.tar.zst. Кроме того, можно скачать файл codeql-bundle.tar.zst, содержащий CLI для всех поддерживаемых платформ.

Существуют также tar.gz варианты пакета, которые идентичны tar.zst вариантам, кроме сжатых с помощью менее эффективного алгоритма gzip. Единственной причиной скачивания tar.gz вариантов является использование старых средств декомпрессии, которые не поддерживают алгоритм сжатия Zstandard.

2. Создание каталога CodeQL

Создайте новый каталог, в котором можно разместить интерфейс командной строки и все запросы и библиотеки, которые вы хотите использовать. Например, $HOME/codeql-home.

Встроенные операции поиска интерфейса командной строки автоматически выглядят во всех его одноуровневых каталогах для файлов, используемых в создании и анализе базы данных. Сохранение этих компонентов в собственном каталоге предотвращает поиск несвязанных каталогов с общими элементами интерфейса командной строки, обеспечивая доступность всех файлов без указания дополнительных параметров в командной строке.

3. Получение локальной копии запросов CodeQL

Репозиторий CodeQL содержит запросы и библиотеки, необходимые для анализа CodeQL всех поддерживаемых языков. Клонируйте копию этого репозитория в codeql-home.

По умолчанию корневой каталог клонированного репозитория будет вызываться codeql. Переименуйте эту папку codeql-repo , чтобы избежать конфликтов с данными CodeQL CLI, которые будут извлечены на шаге 1. Если вы используете Git в командной строке, клонируйте и переименуйте репозиторий одним шагом, выполнив команду git clone git@github.com:github/codeql.git codeql-repo в папке codeql-home .

В этом репозитории запросы и библиотеки организованы в пакеты CodeQL. Наряду с самими запросами пакеты CodeQL содержат важные метаданные, которые сообщают CodeQL CLI обработке файлов запросов. Дополнительные сведения см. в разделе Создание и работа с пакетами CodeQL.

Note

Существуют различные версии запросов CodeQL для разных пользователей. Проверьте правильную версию для вашего варианта использования:

  • Для запросов, которые предназначены для использования с последним выпуском CodeQL CLI, ознакомьтесь с тегами codeql-cli/latestветви. Эту ветвь следует использовать для баз данных, созданных с помощью CodeQL CLI или недавно скачанных из GitHub.
  • Для получения наиболее актуальной версии запросов CodeQL ознакомьтесь с main ветвью. Эта ветвь представляет самую последнюю версию анализа данных CodeQL.

4. Извлечение архива tar CodeQL CLI

Извлеките архив tar в каталог, созданный на шаге 2.

Например, если путь к копии репозитория $HOME/codeql-home/codeql-repoCodeQL, то извлеките интерфейс командной строки в $HOME/codeql-home/.

5. Запустите codeql

После извлечения можно выполнить процессы CodeQL путем выполнения codeql исполняемого файла несколькими способами:

  • Выполнив выполнение <extraction-root>/codeql/codeql, где <extraction-root> находится папка, в которой извлечен пакет CodeQL CLI.
  • Добавив <extraction-root>/codeql в PATH, чтобы можно было запустить исполняемый файл просто как codeql.

На этом этапе можно выполнить команды CodeQL. Полный список команд CodeQL CLI см. в разделе "Команды CLI CodeQL вручную".

6. Проверьте настройку CodeQL CLI

CodeQL CLI содержит вложенные команды, которые можно выполнить, чтобы убедиться, что вы правильно настроены для создания и анализа баз данных:

  • Выполните команду codeql resolve languages, чтобы узнать, какие языки доступны для создания базы данных. В этом списке перечислены языки, поддерживаемые по умолчанию в пакете CodeQL CLI.
  • Выполните команду codeql resolve qlpacks , чтобы показать, какие данные CodeQL упаковывают интерфейс командной строки. При этом будут отображаться имена всех пакетов CodeQL, доступных непосредственно для CodeQL CLI. Это должно включать в себя следующее:
  • Например, codeql/{language}-queriesпакеты запросов для каждого поддерживаемого языка. Эти пакеты содержат стандартные запросы, которые будут выполняться для каждого анализа.
  • Пакеты библиотек для каждого поддерживаемого языка, например codeql/{language}-all. Эти пакеты содержат библиотеки запросов, такие как поток управления и библиотеки потоков данных, которые могут быть полезны для записи запросов.
  • Примеры пакетов для каждого поддерживаемого языка, например codeql/{language}-examples. Эти пакеты содержат полезные фрагменты данных CodeQL, которые могут оказаться полезными для записи запросов.
  • Устаревшие пакеты, обеспечивающие совместимость пользовательских запросов и библиотек, созданных с помощью старых продуктов, с версией CodeQL.

Использование двух версий данных CodeQL CLI

Если вы хотите использовать последние функции CodeQL для выполнения запросов или тестов CodeQL, но также требуется подготовить базы данных, совместимые с определенной версией CodeQL, сканируя код GitHub Enterprise Server, вам может потребоваться установить две версии ИНТЕРФЕЙСА командной строки. Вы можете скачать нужные версии данных CodeQL CLI и распаковывать архивы CLI в одном родительском каталоге.

Скачивание баз данных из GitHub.com

GitHub хранит базы данных CodeQL для более чем 200 000 репозиториев на GitHub.com, которые можно скачать с помощью REST API. Список репозиториев постоянно растет и развивается, чтобы убедиться, что он включает самые интересные базы кода для исследований безопасности.

Можно также анализировать базы данных из GitHub.com с помощью расширения CodeQL для расширения VS Code . Дополнительные сведения см. в разделе Выполнение запросов CodeQL.

Вы можете проверить, есть ли репозиторий какие-либо базы данных CodeQL доступны для скачивания с помощью конечной /repos/<owner>/<repo>/code-scanning/codeql/databases точки. Например, чтобы проверить наличие баз данных CodeQL с помощью GitHub CLI , выполните следующие действия:

gh api /repos/<owner>/<repo>/code-scanning/codeql/databases

Эта команда возвращает сведения о любых базах данных CodeQL, доступных для репозитория, включая язык, который представляет базу данных, и когда база данных была последней обновления. Если базы данных CodeQL недоступны, ответ пуст.

После подтверждения того, что база данных CodeQL существует для интересующего вас языка, его можно скачать с помощью следующей команды:

gh api /repos/<owner>/<repo>/code-scanning/codeql/databases/<language> -H 'Accept: application/zip' > path/to/local/database.zip

Дополнительные сведения см. в документации по конечной точке базы данных Get CodeQL базы данных.

Перед выполнением анализа с помощью CodeQL CLIнеобходимо распакуть базы данных.