Ausführen der CodeQL-Codeüberprüfung in einem Container

Wer kann dieses Feature verwenden?

Code scanning ist für die folgenden Repositorytypen verfügbar:

  • Öffentliche Repositorys auf .com
  • Repositorys im Besitz von Organisationen auf Team oder Enterprise Cloud,die Code Security aktiviert haben

In diesem Artikel

Wenn du die code scanning für eine kompilierte Sprache konfigurierst und den Code in einer Containerumgebung erstellst, schlägt die Analyse möglicherweise mit der Fehlermeldung „Während des Builds wurde kein Quellcode angezeigt“ fehl. Dies weist darauf hin, dass CodeQL den Code nicht überwachen konnten, da er kompiliert wurde.

Du musst CodeQL innerhalb des Containers ausführen, in dem du deinem Code erstellst. Dies gilt unabhängig davon, ob du die CodeQL CLI oder Actions verwendest. Weitere Informationen zur CodeQL CLI findest du unter Verwenden der Codeüberprüfung mit deinem vorhandenen CI-System. Wenn du Actions verwenden, konfiguriere deinen Workflow so, dass alle Aktionen im selben Container ausgeführt werden. Weitere Informationen findest du im Beispielworkflow.

Hinweis

Die CodeQL CLI ist derzeit nicht mit Nicht-Glibc-Linux-Distributionen wie (musl-basiertem) Alpine Linux kompatibel.

Möglicherweise hast du Schwierigkeiten, code scanning auszuführen, wenn deinem verwendeten Container bestimmte Abhängigkeiten fehlen (z. B. muss Git installiert und zur PATH-Variable hinzugefügt werden). Bei Abhängigkeitsproblemen überprüfe die Liste der Software, die normalerweise in den Runner-Images von enthalten ist. Weitere Informationen findest du in den versionsspezifischen readme-Dateien an diesen Speicherorten:

Dieser Beispielworkflow verwendet Actions, um CodeQL-Analysen in einer containerisierten Umgebung durchzuführen. Der Wert von container.image gibt den zu verwendenden Container an. In diesem Beispiel wird das Image codeql-container mit einem Tag von f0f91db genannt. Weitere Informationen finden Sie unter Workflowsyntax für Actions.

name: "CodeQL"

on:
  push:
    branches: [main]
  pull_request:
    branches: [main]
  schedule:
    - cron: '15 5 * * 3'

jobs:
  analyze:
    name: Analyze
    runs-on: ubuntu-latest
    permissions:
      security-events: write
      actions: read

    strategy:
      fail-fast: false
      matrix:
        language: [java-kotlin]

    # Specify the container in which actions will run
    container:
      image: codeql-container:f0f91db

    steps:
      - name: Checkout repository
        uses: actions/checkout@v4
      - name: Initialize CodeQL
        uses: /codeql-action/init@v3
        with:
          languages: ${{ matrix.language }}
      - name: Build
        run: |
          ./configure
          make
      - name: Perform CodeQL Analysis
        uses: /codeql-action/analyze@v3