Du kannst deine CodeQL-Analyse anpassen, indem du Pakete herunterlädst, die von anderen Personen erstellt wurden, und sie auf deiner Codebasis ausführst. Weitere Informationen finden Sie unter CodeQL-Abfragepakete.
Herunterladen und Verwenden von CodeQL-Abfragepaketen
Bevor Sie ein CodeQL-Abfragepaket verwenden können, um eine Datenbank zu analysieren, müssen alle Pakete heruntergeladen werden, die Sie aus der GitHub Container registry benötigen. Dies kann durch Verwendung des Flags --download als Teil des Befehls codeql database analyze erfolgen, oder durch Ausführen von codeql pack download. Wenn ein Paket nicht öffentlich verfügbar ist, musst du eine GitHub App oder ein personal access token zum Authentifizieren verwenden. Weitere Informationen und ein Beispiel findest du unter Hochladen von CodeQL-Analyseergebnissen auf GitHub.
| Option | Erforderlich | Usage |
|---|---|---|
<scope/name@version:path> | Gib unter Verwendung einer durch Trennzeichen getrennten Liste den Bereich und den Namen von mindestens einem CodeQL-Abfragepaket an, das heruntergeladen werden soll. Schließe optional die Version ein, die heruntergeladen und entpackt werden soll. Standardmäßig wird die neueste Version des Pakets heruntergeladen. Optional kannst du einen Pfad zu einer Abfrage, einem Verzeichnis oder einer Abfragesammlung angeben, die ausgeführt werden soll. Wenn kein Pfad angegeben ist, führe die Standardabfragen dieses Pakets aus. | |
--github-auth-stdin | Übergebe die CLI an die GitHub App oder das personal access token, das zur Authentifizierung mit der REST-API von GitHub aus deinem Geheimnisspeicher über die Standardeingabe erstellt wurde. Dies ist nicht erforderlich, wenn der Befehl über Zugriff auf GITHUB_TOKEN-Umgebungsvariablen verfügt, die mit diesem Token festgelegt wurden. |
Hinweis
Wenn du eine bestimmte Version eines Abfrage-Packs angibst, beachte, dass die von dir angegebene Version irgendwann zu alt sein kann, um von der neuesten Version von CodeQL effizient genutzt zu werden. Um eine optimale Leistung zu gewährleisten, solltest du bei jedem Upgrade der verwendeten CodeQL CLI neu abwägen, welche Versionen du anpinnst, wenn du genaue Abfragepaketversionen angeben musst.
Weitere Informationen zur Kompatibilität von Paketen findest du unter Veröffentlichen und Verwenden von CodeQL-Paketen.
Einfaches Beispiel für das Herunterladen und Verwenden von Abfragepaketen
In diesem Beispiel wird der Befehl codeql database analyze mit der Option --download für folgende Zwecke ausgeführt:
- Herunterladen der neuesten Version des Pakets
octo-org/security-queries - Herunterladen einer Version des Pakets
octo-org/optional-security-queries, die mit Version 1.0.1 kompatibel ist (in diesem Fall Version 1.0.2) Weitere Informationen zur SemVer-Kompatibilität findest du in der npm-Dokumentation zur semantischen Versionierung unter „Ranges“. - Ausführen aller Standardabfragen in
octo-org/security-queries - Ausschließliches Ausführen der Abfrage
queries/csrf.qlinocto-org/optional-security-queries
$ echo $OCTO-ORG_ACCESS_TOKEN | codeql database analyze --download /codeql-dbs/example-repo \
octo-org/security-queries \
octo-org/optional-security-queries@~1.0.1:queries/csrf.ql \
--format=sarif-latest --output=/temp/example-repo-js.sarif
> Download location: /Users/mona/.codeql/packages
> Installed fresh octo-org/[email protected]
> Installed fresh octo-org/[email protected]
> Running queries.
> Compiling query plan for /Users/mona/.codeql/packages/octo-org/security-queries/1.0.0/potential-sql-injection.ql.
> [1/2] Found in cache: /Users/mona/.codeql/packages/octo-org/security-queries/1.0.0/potential-sql-injection.ql.
> Starting evaluation of octo-org/security-queries/query1.ql.
> Compiling query plan for /Users/mona/.codeql/packages/octo-org/optional-security-queries/1.0.2/queries/csrf.ql.
> [2/2] Found in cache: /Users/mona/.codeql/packages/octo-org/optional-security-queries/1.0.2/queries/csrf.ql.
> Starting evaluation of octo-org/optional-security-queries/queries/csrf.ql.
> [2/2 eval 694ms] Evaluation done; writing results to octo-org/security-queries/query1.bqrs.
> Shutting down query evaluator.
> Interpreting results.
Direktes Herunterladen von CodeQL-Paketen
Wenn du ein CodeQL-Paket herunterladen möchtest, ohne es sofort auszuführen, kannst du den Befehl codeql pack download verwenden. Dies ist nützlich, wenn du bei der Ausführung von CodeQL-Abfragen den Zugriff auf das Internet vermeiden möchtest. Wenn du die CodeQL-Analyse ausführst, kannst du Pakete, Versionen und Pfade auf die gleiche Weise wie im vorherigen Beispiel angeben:
echo $OCTO-ORG_ACCESS_TOKEN | codeql pack download <scope/name@version:path> <scope/name@version:path> ...
Herunterladen von CodeQL-Paketen aus mehreren GitHub-Containerregistrierungen
Wenn sich deine CodeQL-Pakete in mehreren Containerregistrierungen befinden, musst du der CodeQL CLI mitteilen, wo jedes Paket zu finden ist. Weitere Informationen finden Sie unter Anpassen des erweiterten Setups für das Codescanning.
Angeben, welche Abfragen in einem CodeQL-Paket ausgeführt werden sollen
Abfragespezifizierer werden von codeql database analyze und anderen Befehlen verwendet, die für mehrere Abfragen ausgeführt werden.
Die vollständige Form eines Abfragespezifizierers lautet scope/name@range:path, wobei Folgendes gilt:
-
`scope/name` ist der qualifizierte Name eines CodeQL-Packs. -
`range` ist ein [Semver-Bereich](https://docs.npmjs.com/cli/v6/using-npm/semver#ranges). -
`path` ist ein Dateisystempfad zu einer einzelnen Abfrage, einem Verzeichnis, das Abfragen enthält, oder einer Abfrage-Suite-Datei.
Wenn du einen scope/name angibst, sind range und path optional. Wenn du range nicht angibst, wird die neueste Version des angegebenen Pakets verwendet. Wenn du path nicht angibst, wird die Standardabfragesammlung des angegebenen Pakets verwendet.
Der path kann Folgendes sein: eine .ql-Abfragedatei, ein Verzeichnis mit einer oder mehreren Abfragen oder eine .qls-Abfragesammlungsdatei. Wenn du den Namen eines Pakets nicht angibst, musst du einen pathangeben, der relativ zum Arbeitsverzeichnis des aktuellen Prozesses interpretiert wird. Globmuster werden nicht unterstützt.
Wenn du sowohl einen scope/name als auch einen path angibst, kann der path nicht absolut sein. Er wird als relativ zum Stamm des CodeQL-Pakets betrachtet.
Beispielabfragespezifizierer
-
`codeql/python-queries` - Alle Abfragen in der standardmäßigen Suite der neuesten Version des `codeql/python-queries` Packs. -
`codeql/[email protected]` - Alle Abfragen in der Standard-Abfrage-Suite der Version `1.2.3` des `codeql/python-queries` Packs. -
`codeql/python-queries@~1.2.3` - Alle Abfragen in der Standard-Abfrage-Suite der neuesten Version des `codeql/python-queries` Packs, die >= `1.2.3` und < `1.3.0` ist. -
`codeql/python-queries:Functions` - Alle Abfragen im Verzeichnis `Functions` in der letzten Version des `codeql/python-queries` Packs. -
`codeql/[email protected]:Functions` - Alle Abfragen im Verzeichnis `Functions` in der Version 1.2.3 des `codeql/python-queries` Packs. -
`codeql/[email protected]:codeql-suites/python-code-scanning.qls` - Alle Abfragen im Verzeichnis `codeql-suites/python-code-scanning.qls` in der Version 1.2.3 des `codeql/python-queries` Packs. -
`suites/my-suite.qls` - Alle Abfragen in der Datei `suites/my-suite.qls` relativ zum aktuellen Arbeitsverzeichnis.
Tipp
Die Standardabfragesammlung der CodeQL-Standardabfragepakete ist codeql-suites/<lang>-code-scanning.qls. Weitere nützliche Abfragesammlungen findest du auch im codeql-suites-Verzeichnis jedes Pakets. Das codeql/cpp-queries-Paket enthält beispielsweise die folgenden Abfragesammlungen:
`cpp-code-scanning.qls` - Standard Code Scanning Abfragen für C++. Dies ist die Standardabfragesammlung für dieses Paket.
`cpp-security-extended.qls` - Abfragen aus der Standard `cpp-code-scanning.qls` Suite für C++, plus Abfragen mit geringerem Schweregrad und geringerer Genauigkeit.
`cpp-security-and-quality.qls` - Abfragen aus `cpp-security-extended.qls`, plus Wartbarkeits- und Zuverlässigkeitsabfragen.
Die Quellen für diese Abfragesammlungen sind im Repository CodeQL zu finden. Abfragesammlungen für andere Sprachen sind ähnlich.
Verwenden von Modellpaketen zum Analysieren von Aufrufen von benutzerdefinierten Abhängigkeiten
Sie können veröffentlichte Modellpakete in eine code scanning-Analyse mit der Option --model-packs einschließen. Beispiel:
$ codeql database analyze /codeql-dbs/my-company --format=sarif-latest \
--model-packs my-repo/my-java-model-pack \
--output=/temp/my-company.sarif codeql/java-queries
In diesem Beispiel verwenden die relevanten Abfragen im Standardabfragepaket codeql/java-queries die Abhängigkeitsinformationen aus dem Modellpaket, my-repo/my-java-model-pack, um nach Sicherheitsrisiken im Code zu suchen, der diese Abhängigkeiten aufruft.
Sie können mehrere veröffentlichte Modellpakete in einer Analyse angeben.
Weitere Informationen zum Schreiben eigener Modellpakete findest du unter Erstellen und Arbeiten mit CodeQL-Paketen.
Informationen zu veröffentlichten Paketen
Wenn ein Paket für das Verwenden in Analysen veröffentlicht wird, überprüfen die Befehle codeql pack create oder codeql pack publish, ob der Inhalt vollständig ist, und fügt diesem auch einige zusätzliche Inhalte hinzu:
-
Bei Abfragepaketen: eine Kopie aller Bibliothekspakete, von denen das Abfragepaket abhängig ist, in den genauen Versionen, mit denen es entwickelt wurde. Benutzer*innen des Abfragepakets müssen diese Bibliothekspakete nicht separat herunterladen.
-
Bei Abfragepaketen: vorkompilierte Darstellungen der einzelnen Abfragen. Diese können schneller ausgeführt werden, als wenn die QL-Quelle für die Abfrage bei jeder Analyse kompiliert werden müsste.
Die meisten dieser Daten befinden sich in einem Verzeichnis namens .codeql im veröffentlichten Paket, doch vorkompilierte Abfragen befinden sich für jede Abfrage in Dateien mit dem Suffix .qlx neben der .ql-Quelle. Beim Analysieren einer Datenbank mit einer Abfrage aus einem veröffentlichten Paket lädt CodeQL diese Dateien anstelle der .ql-Quelle. Wenn du den Inhalt eines veröffentlichten Pakets ändern musst, entferne alle .qlx-Dateien, da diese möglicherweise verhindern, dass Änderungen an den .ql-Dateien wirksam werden.