快速入门：创建安全扫描 GitHub 工作流

本快速入门介绍如何创建 CodeQL GitHub 工作流，以自动发现 .NET 代码库中的漏洞。

在 CodeQL 中，代码被视为数据。 安全漏洞、bug 和其他错误建模为可针对从代码中提取的数据库执行的查询。

• GitHub CodeQL：关于

先决条件

• 一个 GitHub 帐户。
• .NET 源代码存储库。

创建工作流文件

在 GitHub 存储库中，将新的 YAML 文件添加到 .github/workflows 目录。 选择一个有意义的文件名，这将清楚地指示工作流要执行的操作。 有关详细信息，请参阅工作流文件。

重要

GitHub 要求将工作流组合文件放置在 .github/workflows 目录中。

工作流文件通常通过 jobs.<job_id>/steps[*] 定义一个或多个 GitHub Action 的组合。 有关详细信息，请参阅 GitHub Actions 的工作流语法。

创建名为 codeql-analysis.yml 的新文件，将以下 YML 内容复制并粘贴到该文件：

name: "CodeQL"

on:
  push:
    branches: [main]
    paths:
    - '**.cs'
    - '**.csproj'
  pull_request:
    branches: [main]
    paths:
    - '**.cs'
    - '**.csproj'
  schedule:
    - cron: '0 8 * * 4'

jobs:
  analyze:

    name: analyze
    runs-on: ubuntu-latest

    strategy:
      fail-fast: false
      matrix:
        language: ['csharp']

    steps:
    - name: Checkout repository
      uses: actions/checkout@v3
      with:
        fetch-depth: 2

    - run: git checkout HEAD^2
      if: ${{ github.event_name == 'pull_request' }}

    - name: Initialize CodeQL
      uses: github/codeql-action/init@v1
      with:
        languages: ${{ matrix.language }}

    - name: Autobuild
      uses: github/codeql-action/autobuild@v1

    - name: Perform CodeQL Analysis
      uses: github/codeql-action/analyze@v1

在前面的工作流组合中：

• name: CodeQL 定义名称，“CodeQL”将显示在工作流状态徽章中。

  name: "CodeQL"
  

• on 节点表示触发工作流的事件：

  on:
    push:
      branches: [main]
      paths:
      - '**.cs'
      - '**.csproj'
    pull_request:
      branches: [main]
      paths:
      - '**.cs'
      - '**.csproj'
    schedule:
      - cron: '0 8 * * 4'
  

  • 当 main 分支上发生 push 或 pull_request 时触发，其中任何更改的文件都以 .cs 或 .csproj 文件扩展名结尾。
  • 作为 cron 作业（按计划）- 在每周四 8:00（UTC 时间）运行。

• jobs 节点会生成工作流要执行的步骤。

  jobs:
    analyze:
  
      name: analyze
      runs-on: ubuntu-latest
  
      strategy:
        fail-fast: false
        matrix:
          language: ['csharp']
  
      steps:
      - name: Checkout repository
        uses: actions/checkout@v3
        with:
          fetch-depth: 2
  
      - run: git checkout HEAD^2
        if: ${{ github.event_name == 'pull_request' }}
  
      - name: Initialize CodeQL
        uses: github/codeql-action/init@v1
        with:
          languages: ${{ matrix.language }}
  
      - name: Autobuild
        uses: github/codeql-action/autobuild@v1
  
      - name: Perform CodeQL Analysis
        uses: github/codeql-action/analyze@v1
  

  • 有一个名为 analyze 的作业将在最新版本的 Ubuntu 上运行。
  • strategy 将 C# 定义为 language。
  • github/codeql-action/init@v1 GitHub 操作用于初始化 CodeQL。
  • github/codeql-action/autobuild@v1 GitHub 操作生成 .NET 项目。
  • github/codeql-action/analyze@v1 GitHub 操作执行 CodeQL 分析。

有关详细信息，请参阅 GitHub Actions：配置代码扫描。

创建工作流状态徽章

GitHub 存储库有一个 README.md 文件，位于存储库目录的根目录下。 同样，最好报告各种工作流的最新状态。 所有工作流都可以生成一个状态徽章，它在 README.md 文件中具有视觉吸引力。 若要添加工作流状态徽章，请执行以下操作：

1. 从 GitHub 存储库中选择“Actions”导航选项。

2. 所有存储库工作流都显示在左侧，选择所需的工作流和省略号 (...) 按钮。

   • 省略号 (...) 按钮展开所选工作流的菜单选项。

3. 选择“创建状态徽章”菜单选项。

   

4. 选择“复制状态徽章 Markdown”按钮。

   

5. 将 Markdown 粘贴到 README.md 文件中，保存文件，提交并推送更改。

有关详细信息，请参阅添加工作流状态徽章。

示例 CodeQL 工作流状态徽章

通过	失败	无状态

另请参阅

• 安全编码准则
• actions/checkout
• 操作/setup-dotnet

后续步骤

教程：使用 .NET 创建 GitHub 操作