CodeQL-Abfragesammlungen

Sie können zwischen verschiedenen integrierten CodeQL-Abfragesammlungen wählen, die Sie in deinem Setup für die CodeQL-code scanning verwenden können.

Wer kann dieses Feature verwenden?

CodeQL ist für die folgenden Repositorytypen verfügbar:

In diesem Artikel

Was sind Abfragesammlungen?

Abfragesammlungen ermöglichen es dir, mehrere Abfragen an CodeQL zu übergeben, ohne den Pfad zu jeder Abfragedatei einzeln angeben zu müssen. Sie bieten eine Möglichkeit, Abfragen basierend auf ihrem Dateinamen, Metadateneigenschaften oder Speicherort auf dem Datenträger oder in einem CodeQL Pack auszuwählen.

Sie sollten Abfrage-Suites für die Abfragen nutzen, die Sie häufig in Ihren CodeQL Analysen verwenden möchten. Sie können eine integrierte Abfragesuite verwenden, die über GitHub verfügbar ist, oder Sie können eigene Erstellen.

Integrierte CodeQL-Abfragesammlungen

Die integrierten CodeQL-Abfragesammlungen default und security-extended werden von GitHub erstellt und verwaltet. Beide Abfragesammlungen sind mit Standardeinstellungen für alle von CodeQL unterstützten Sprachen verfügbar.

Organisationsbesitzer und Sicherheitsmanager können eine Abfragesuite für die Verwendung mit standardem Setup in der gesamten Organisation empfehlen. Weitere Informationen finden Sie unter Konfigurieren des Standardsetups für das Codescanning im großen Stil.

Eine vollständige Liste der Abfragen, die in jeder Abfragesuite für jede Sprache enthalten sind, finden Sie unter Abfragen für die CodeQL-Analyse.

Abfragesammlung default

  • Die Abfragesammlung default ist die Gruppe von Abfragen, die standardmäßig in der CodeQL-code scanning auf GitHub ausgeführt werden.
  • Die Abfragen in der Abfragesammlung default sind sehr präzise und geben nur wenige falsch positive Ergebnisse bei der code scanning zurück. Im Vergleich zur Abfragesammlung security-extended gibt die Sammlung default weniger Ergebnisse mit niedriger Zuverlässigkeit bei der code scanning zurück.
  • Diese Abfragesammlung ist für die Verwendung mit dem Standardsetup für das code scanning verfügbar.

Abfragesammlung security-extended

  • Die Abfragesammlung security-extended besteht aus allen Abfragen in der Abfragesammlung default sowie zusätzlichen Abfragen mit etwas geringerer Genauigkeit und einem niedrigeren Schweregrad.
  • Im Vergleich zur Abfragesammlung default gibt die Sammlung security-extended möglicherweise eine größere Anzahl falsch positiver Ergebnisse bei der code scanning zurück.
  • Diese Abfragesammlung steht für die Standardeinrichtung für das code scanning zur Verfügung und wird unter GitHub als „erweiterte“ Abfragesammlung bezeichnet.

Benutzerdefinierte Abfragesammlungen

Um eine benutzerdefinierte Abfragesammlung zu verwenden, müssen Sie ein erweitertes Setup für das CodeQL-code scanning einrichten. Weitere Informationen finden Sie unter Konfigurieren des erweiterten Setups für das Code-Scanning.

Abfrage-Suiten-Definitionen werden in YAML-Dateien mit der Erweiterung .qls gespeichert. Eine Sammlungsdefinition ist eine Sequenz von Anweisungen, wobei jede Anweisung eine YAML-Zuordnung mit (normalerweise) einem einzelnen Schlüssel ist. Die Anweisungen werden in der Reihenfolge ausgeführt, in der sie in der Abfragesammlungsdefinition vorliegen. Nachdem alle Anweisungen in der Sammlungsdefinition ausgeführt wurden, ist das Ergebnis ein Satz ausgewählter Abfragen. Weitere Informationen finden Sie unter Erstellen von CodeQL-Abfragesammlungen.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/codeql-cli/using-the-advanced-functionality-of-the-codeql-cli/creating-codeql-query-suites)