Наборы запросов CodeQL

Вы можете выбрать разные встроенные наборы запросов CodeQL для использования в настройке CodeQL code scanning.

Кто может использовать эту функцию?

CodeQL доступен для следующих типов репозитория:

В этой статье

Что такое наборы запросов?

Наборы запросов позволяют передавать несколько запросов в CodeQL без необходимости указывать путь к каждому файлу запроса по отдельности. Они предоставляют способ выбора запросов на основе их имени файла, свойств метаданных или расположения на диске или в пакете CodeQL.

Вам следует использовать наборы запросов для тех запросов, которые вы хотите часто использовать в анализах CodeQL. Вы можете использовать встроенный набор запросов, доступный через GitHub, или создать свой собственный.

Встроенные наборы запросов CodeQL

Встроенные наборы default запросов CodeQL и security-extendedподдерживаются GitHub. Оба этих набора запросов доступны с настройками по умолчанию для любого CodeQL поддерживаемых языков.

Владельцы организаций и менеджеры по безопасности могут рекомендовать набор запросов для использования с настройками по умолчанию по всей организации. Дополнительные сведения см. в разделе Настройка настройки по умолчанию для сканирования кода в масштабе.

Полный список запросов, включённых в каждый набор запросов для каждого языка, см. Запросы для анализа CodeQL.

          `default` набор запросов
  • Набор default запросов — это группа запросов, выполняемых по умолчанию в CodeQL code scanning на GitHub.
  • Запросы в наборе default запросов являются очень точными и возвращают несколько ложных срабатываний code scanning результатов. По отношению к набору security-extended``default запросов набор возвращает меньше низкой достоверности code scanning результатов.
  • Этот набор запросов доступен для установки по умолчанию для code scanning.

          `security-extended` набор запросов
  • Набор security-extended запросов состоит из всех запросов в default наборе запросов, а также дополнительных запросов с немного меньшей точностью и серьезностью.
  • По отношению к default набору security-extended запросов набор может возвращать большее количество ложных срабатываний code scanning результатов.
  • Этот набор запросов доступен для установки по умолчанию для code scanning, и называется набором запросов "Расширенный" для GitHub.

Пользовательские наборы запросов

Чтобы использовать пользовательский набор запросов, необходимо настроить расширенную настройку для CodeQL code scanning. Дополнительные сведения см. в разделе Настройка расширенной настройки для сканирования кода.

Определения набора запросов хранятся в файлах YAML с расширением .qls. Определение набора — это последовательность инструкций, в которой каждая инструкция является сопоставлением YAML с (как правило) одним ключом. Инструкции выполняются в том порядке, в котором они отображаются в определении набора запросов. У результате выполнения всех инструкций в определении набора будет создан набор выбранных запросов. Дополнительные сведения см. в разделе Создание наборов запросов CodeQL.

Дополнительные материалы

  •         [AUTOTITLE](/code-security/codeql-cli/using-the-advanced-functionality-of-the-codeql-cli/creating-codeql-query-suites)