Puede personalizar el CodeQL análisis descargando paquetes creados por otros usuarios y ejecutándolos en el código base. Para obtener más información, vea Paquetes de consultas de CodeQL.
Descargar y usar CodeQL paquetes de consultas
Antes de poder usar un paquete de consultas CodeQL para analizar una base de datos, debe descargar los paquetes necesarios desde GitHubContainer registry. Puede hacerlo si usa la marca --download como parte del comando codeql database analyze o ejecutar codeql pack download. Si un paquete no está disponible públicamente, deberá utilizar un GitHub App o personal access token para autenticarse. Para obtener más información y un ejemplo, consulta Carga de resultados de análisis de CodeQL en GitHub.
| Opción | Obligatorio | Uso |
|---|---|---|
<scope/name@version:path> | Especifique el ámbito y el nombre de uno o varios CodeQL paquetes de consulta que se van a descargar mediante una lista separada por comas. Opcionalmente, incluye la versión para descargar y descomprimir. Se descarga la versión más reciente de este paquete predeterminadamente. Opcionalmente, incluye una ruta de acceso a una consulta, directorio o conjunto de consultas que se vaya a ejecutar. Si no se incluye ninguna ruta de acceso, ejecuta las consultas predeterminadas de este paquete. | |
--github-auth-stdin | Pase al CLI el GitHub App o personal access token creados para la autenticación con la API REST de GitHub desde su almacén de secretos a través de la entrada estándar. Esto no es necesario si el comando tiene acceso a una variable de entorno GITHUB_TOKEN establecida con este token. |
Nota:
Si especifica una versión concreta de un paquete de consultas para usar, tenga en cuenta que la versión que especifique puede llegar a ser demasiado antigua para que la versión más reciente de CodeQL pueda aprovecharla de forma eficaz. Para garantizar un rendimiento óptimo, si necesita especificar versiones exactas del paquete de consultas, debe volver a evaluar las versiones a las que ancle cada vez que actualice el que CodeQL CLI está usando.
Para obtener más información sobre la compatibilidad de los paquetes, consulte Referencia de paquetes de consulta de CodeQL.
Ejemplo básico de descarga y uso de paquetes de consulta
En este ejemplo se ejecuta el comando codeql database analyze con la opción --download para:
- Descargar la versión más reciente del paquete
octo-org/security-queries. - Descargar una versión del paquete
octo-org/optional-security-queriesque sea compatible con la versión 1.0.1 (en este caso, es la versión 1.0.2). Para obtener más información sobre la compatibilidad de SemVer, consulta la documentación del intervalo de versiones semánticas de npm. - Ejecutar todas las consultas predeterminadas en
octo-org/security-queries. - Ejecutar solo la consulta
queries/csrf.qldeocto-org/optional-security-queries
$ echo $OCTO-ORG_ACCESS_TOKEN | codeql database analyze --download /codeql-dbs/example-repo \
octo-org/security-queries \
octo-org/optional-security-queries@~1.0.1:queries/csrf.ql \
--format=sarif-latest --output=/temp/example-repo-js.sarif
> Download location: /Users/mona/.codeql/packages
> Installed fresh octo-org/security-queries@1.0.0
> Installed fresh octo-org/optional-security-queries@1.0.2
> Running queries.
> Compiling query plan for /Users/mona/.codeql/packages/octo-org/security-queries/1.0.0/potential-sql-injection.ql.
> [1/2] Found in cache: /Users/mona/.codeql/packages/octo-org/security-queries/1.0.0/potential-sql-injection.ql.
> Starting evaluation of octo-org/security-queries/query1.ql.
> Compiling query plan for /Users/mona/.codeql/packages/octo-org/optional-security-queries/1.0.2/queries/csrf.ql.
> [2/2] Found in cache: /Users/mona/.codeql/packages/octo-org/optional-security-queries/1.0.2/queries/csrf.ql.
> Starting evaluation of octo-org/optional-security-queries/queries/csrf.ql.
> [2/2 eval 694ms] Evaluation done; writing results to octo-org/security-queries/query1.bqrs.
> Shutting down query evaluator.
> Interpreting results.
Descarga directa de CodeQL paquetes
Si desea descargar un CodeQL paquete sin ejecutarlo inmediatamente, puede usar el codeql pack download comando . Esto resulta útil si desea evitar el acceso a Internet al ejecutar CodeQL consultas. Al ejecutar el CodeQL análisis, puede especificar paquetes, versiones y rutas de acceso de la misma manera que en el ejemplo anterior:
echo $OCTO-ORG_ACCESS_TOKEN | codeql pack download <scope/name@version:path> <scope/name@version:path> ...
Descarga de CodeQL paquetes de varios GitHub registros de contenedor
Si sus CodeQL packs residen en varios registros de contenedores, debe indicar a CodeQL CLI dónde encontrar cada pack. Para obtener más información, vea Opciones de configuración de flujo de trabajo para el examen de código.
Especificación de las consultas que se van a ejecutar en un CodeQL paquete
Los especificadores de consulta se usan en codeql database analyze y en otros comandos que operan en un conjunto de consultas.
La forma completa de un especificador de consulta es scope/name@range:path, donde:
scope/namees el nombre cualificado de un paquete CodeQL.rangees un intervalo de SemVer.pathes una ruta de acceso del sistema de archivos a una sola consulta, un directorio que contiene consultas o un archivo de conjunto de consultas.
Cuando se especifica scope/name, range y path son opcionales. Si range se omite, se usa la versión más reciente del paquete especificado. Si path se omite, se usa el conjunto de consultas predeterminado del paquete especificado.
path puede ser un archivo de consulta .ql, un directorio que contiene una o varias consultas o un archivo de conjunto de consultas .qls. Si se omite el nombre de paquete, debes proporcionar path, que se interpretará en relación con el directorio de trabajo del proceso actual. No se admiten patrones globales.
Si se especifica scope/name y path, el valor de path no puede ser absoluto. Se considera relativa a la raíz del CodeQL
paquete
Especificadores de consulta de ejemplo
-
codeql/python-queries: todas las consultas del conjunto de consultas predeterminado de la versión más reciente del paquetecodeql/python-queries. -
codeql/python-queries@1.2.3: todas las consultas del conjunto de consultas predeterminado de la versión1.2.3del paquetecodeql/python-queries. -
codeql/python-queries@~1.2.3: todas las consultas del conjunto de consultas predeterminado de la versión más reciente del paquetecodeql/python-queriesque es >=1.2.3y <1.3.0. -
codeql/python-queries:Functions: todas las consultas del directorioFunctionsen la versión más reciente del paquetecodeql/python-queries. -
codeql/python-queries@1.2.3:Functions: todas las consultas del directorioFunctionsde la versión 1.2.3 del paquetecodeql/python-queries. -
codeql/python-queries@1.2.3:codeql-suites/python-code-scanning.qls: todas las consultas del directoriocodeql-suites/python-code-scanning.qlsde la versión 1.2.3 del paquetecodeql/python-queries. -
suites/my-suite.qls: todas las consultas del archivosuites/my-suite.qlsen relación con el directorio de trabajo actual.
Sugerencia
El conjunto de consultas predeterminado de los paquetes de consultas estándar CodeQL son codeql-suites/<lang>-code-scanning.qls. También se pueden encontrar otros conjuntos de consultas útiles en el directorio codeql-suites de cada paquete. Por ejemplo, el paquete codeql/cpp-queries contiene los siguientes conjuntos de consultas:
cpp-code-scanning.qls: consultas de análisis de código estándar para C++. Es el conjunto de consultas predeterminado para este paquete.
*
cpp-security-extended.qls: consultas del conjuntocpp-code-scanning.qlspredeterminado para C++, además de consultas de gravedad y precisión más bajas. *cpp-security-and-quality.qls: consultas decpp-security-extended.qls, además de consultas de mantenimiento y fiabilidad.Puede ver los orígenes de estos conjuntos de consultas en el CodeQL repositorio. Los conjuntos de consultas de otros lenguajes son similares.
Uso de paquetes de modelos para analizar llamadas a dependencias personalizadas
Puede incluir paquetes de modelos publicados en un análisis code scanning con la opción --model-packs. Por ejemplo:
$ codeql database analyze /codeql-dbs/my-company --format=sarif-latest \
--model-packs my-repo/my-java-model-pack \
--output=/temp/my-company.sarif codeql/java-queries
En este ejemplo, las consultas pertinentes del paquete de consultas estándar codeql/java-queries usarán la información de dependencia del paquete de modelos, my-repo/my-java-model-pack, para comprobar si hay vulnerabilidades en el código que llama a esas dependencias.
Puede especificar varios paquetes de modelos publicados en un análisis.
Para obtener más información sobre cómo escribir sus propios paquetes de modelos, consulte Creación y uso de paquetes de CodeQL.
Acerca de los paquetes publicados
Cuando se publica un paquete para su uso en análisis, el comando codeql pack create o codeql pack publish comprueba que el contenido está completo y también le agrega algunos fragmentos de contenido adicionales:
-
En el caso de los paquetes de consultas, una copia de cada uno de los paquetes de biblioteca de los que depende, en las versiones específicas con las que se ha desarrollado. Los usuarios del paquete de consultas no tendrán que descargar estos paquetes de biblioteca por separado.
-
En el caso de los paquetes de consultas, representaciones precompiladas de cada una de las consultas. Son más rápidos de ejecutar que si se compilara el origen de QL para la consulta en cada análisis.
La mayoría de estos datos se encuentran en un directorio denominado .codeql en el paquete publicado, pero las consultas precompiladas están en archivos con un sufijo .qlx junto al origen .ql de cada consulta. Al analizar una base de datos con una consulta de un paquete publicado, CodeQL cargará estos archivos en lugar del .ql origen. Si necesitas modificar el contenido de un paquete publicado, asegúrate de quitar todos los archivos .qlx, ya que podrían impedir que las modificaciones de los archivos .ql surtieran efecto.