CodeQL を使用したコード スキャン

CodeQLを使用して、コード内の脆弱性とエラーを特定できます。 結果は、code scanningのGitHubアラートとして表示されます。

この機能を使用できるユーザーについて

Code scanning は、次のリポジトリの種類で使用できます。

  • GitHub.com 上のパブリックリポジトリ
  • GitHub Team、GitHub Enterprise Cloud、または GitHub Enterprise Server 上の組織所有リポジトリ。 GitHub Code Security が 有効になっています。

この記事で

CodeQL は、セキュリティ チェックを自動化するために GitHub が開発した、コード分析エンジンです。 CodeQL を使用してコードを分析し、結果を code scanning アラートとして表示することができます。

CodeQLにcode scanning分析を使用するには、主に次の 3 つの方法があります。

  • 既定のセットアップを使用して、リポジトリ上のCodeQLのcode scanning分析をすばやく構成します。 既定の設定では、分析する言語、実行するクエリ スイート、スキャンをトリガーするイベントが自動的に選択されます。 必要に応じて、実行するクエリ スイートと分析する言語を手動で選択できます。 CodeQLを有効にすると、GitHub Actionsはワークフロー実行を実行してコードをスキャンします。 詳細については、「コード スキャンの既定セットアップの構成」を参照してください。

  • 高度なセットアップを使用して、 CodeQL ワークフローをリポジトリに追加します。 これにより、 github/codeql-action を使用して CodeQL CLIを実行するカスタマイズ可能なワークフロー ファイルが生成されます。 詳細については、「コード スキャンの詳細設定を構成する」を参照してください。

  • 外部 CI システムで CodeQL CLI を直接実行し、結果を GitHubにアップロードします。 詳細については、「既存の CI システムでコード スキャンを使用する」を参照してください。

code scanningアラートの詳細については、「コード スキャンのアラート」を参照してください。

CodeQL の概要

CodeQL は、コードをデータのように扱うプログラミング言語および関連ツールです。 これは、コードの分析を容易にし、従来の静的アナライザーよりも信頼度の高いコード内の潜在的な脆弱性を見つけられるように、明示的に作成されました。

  1. コードベースを表す CodeQL データベースを生成します。
  2. 次に、そのデータベース CodeQL クエリを実行して、コードベースの問題を特定します。
  3. code scanningでGitHubを使用すると、クエリ結果はCodeQLのcode scanningアラートとして表示されます。

CodeQL はコンパイル済み言語と解釈言語の両方をサポートし、サポートされている言語で記述されたコードで脆弱性やエラーを見つけることができます。

CodeQL では、次の言語がサポートされています。

  • C/C++
  • C#
  • Go
  • Java/Kotlin
  • JavaScript/TypeScript
  • Python
  • Ruby
  • Rust
  • Swift * GitHub Actions ワークフロー

メモ

  • Java、Kotlin、またはその両方で記述されたコードを分析するには java-kotlin を使用します。
  • JavaScript、TypeScript、またはその両方で記述されたコードを分析するには javascript-typescript を使用します。

詳細については、CodeQL Web サイトのドキュメント「サポートされている言語とフレームワーク」を参照してください。

重要

CodeQL では、上記に記載されていない言語はサポート されていません 。 これには、PHPScala などが含まれますが、これらに限定されません。 サポートされていない言語で CodeQL を使用しようとすると、アラートが生成されず、分析が不完全になる可能性があります。

カスタム フレームワークまたはニッチ フレームワークをモデル化する

GitHub エキスパート、セキュリティ研究者、コミュニティ共同作成者は、一般的なフレームワークやライブラリのデータ フローをモデル化するためのライブラリを作成します。 モデル化されていないカスタム依存関係を使用する場合は、CodeQLのVisual Studio Code拡張機能を使用して、これらの依存関係のモデルを作成し、それらを使用して分析を拡張できます。 詳細については、「CodeQL モデル エディターの使用」を参照してください。

CodeQL クエリ

GitHubエキスパート、セキュリティ研究者、コミュニティ共同作成者は、CodeQLに使用される既定のcode scanning クエリを作成し、維持します。 クエリは、分析を改善し、誤検知の結果を減らすために定期的に更新されます。

独自のクエリを記述する

クエリはオープンソースであるため、github/codeql リポジトリ内のクエリを表示したり投稿したりできます。 詳細については、CodeQLドキュメントのCodeQL」を参照してください。

追加のクエリを実行する

詳細設定または外部 CI システムを使用してコードをスキャンする場合は、分析の一環として追加のクエリを実行できます。

これらのクエリは、パブリッシュされた CodeQL クエリ パックまたはリポジトリ内の CodeQL パックに属している必要があります。

  • CodeQL クエリ パックがGitHubContainer registryに発行されると、クエリとコンパイル キャッシュに必要なすべての推移的な依存関係がパッケージに含まれます。 これにより、パフォーマンスが向上します。そして、パックまたは CLI の新しいバージョンにアップグレードするまでは、パックでクエリを実行するたびに確実に同じ結果が得られます。

  • CodeQL クエリ パックは、複数の GitHub コンテナー レジストリからダウンロードできます。 詳細については、「コード スキャンのワークフロー構成オプション」を参照してください。

詳細については、「CodeQL パックを使った分析のカスタマイズ」を参照してください。