Suites de requêtes CodeQL

Vous pouvez choisir parmi différentes suites de requêtes CodeQL intégrées à utiliser dans votre configuration d’code scanning CodeQL.

Qui peut utiliser cette fonctionnalité ?

CodeQL est disponible pour les types de référentiels suivants :

Dans cet article

Qu’est-ce que les suites de requêtes ?

Les suites de requêtes vous permettent de passer plusieurs requêtes à CodeQL sans devoir spécifier individuellement le chemin de chaque fichier de requête. Ils permettent de sélectionner des requêtes en fonction de leur nom de fichier, de leurs propriétés de métadonnées ou de leur emplacement sur le disque ou dans un pack CodeQL.

Vous devez utiliser des suites de requêtes pour les requêtes que vous souhaitez utiliser fréquemment dans vos analyses CodeQL. Vous pouvez utiliser une suite de requêtes intégrée disponible via GitHub, ou vous pouvez créer vos propres variables de données.

Suites de requêtes CodeQL intégrées

Les suites de requêtes CodeQL intégrées default et security-extended, sont créées et gérées par GitHub. Ces deux suites de requêtes sont disponibles avec une configuration par défaut pour chaque CodeQL langue prise en charge.

Les propriétaires de l’organisation et les gestionnaires de sécurité peuvent recommander une suite de requêtes à utiliser avec la configuration par défaut dans toute leur organisation. Pour plus d’informations, consultez « Définition de la configuration par défaut pour l’analyse du code à grande échelle ».

Pour obtenir la liste complète des requêtes incluses dans chaque suite de requêtes pour chaque langage, consultez Requêtes pour l’analyse CodeQL.

Suite de requêtes default

  • La suite de requêtes default est le groupe de requêtes exécutées par défaut dans l’code scanning CodeQL sur GitHub.
  • Les requêtes de la suite de requêtes default sont très précises et retournent quelques résultats d’code scanning faux positifs. Par rapport à la suite de requêtes security-extended, la suite default retourne moins de résultats d’code scanning peu fiables.
  • Cette suite de requêtes peut être utilisée avec la configuration par défaut de l’code scanning.

Suite de requêtes security-extended

  • La suite de requêtes security-extended se compose de toutes les requêtes de la suite de requêtes default, plus des requêtes supplémentaires avec une précision et une gravité légèrement inférieures.
  • Par rapport à la suite de requêtes default, la suite security-extended peut retourner un plus grand nombre de résultats d’code scanning faux positifs.
  • Cette suite de requêtes est disponible pour être utilisée avec la configuration par défaut pour l’code scanning, et est appelée suite de requêtes « Étendue » sur GitHub.

Suites de requêtes personnalisées

Pour utiliser une suite de requêtes personnalisée, vous devez définir une configuration avancée pour l’code scanning CodeQL. Pour plus d’informations, consultez « Configuration avancée de l’analyse du code ».

Les définitions de suite de requêtes sont stockées dans des fichiers YAML avec l’extension .qls. Une définition de suite est une séquence d’instructions, où chaque instruction est un mappage YAML avec (en général) une clé unique. Les instructions sont exécutées dans l’ordre dans lequel elles apparaissent dans la définition de la suite de requêtes. Une fois que toutes les instructions de la définition de la suite ont été exécutées, le résultat est un ensemble de requêtes sélectionnées. Pour plus d’informations, consultez « Création de suites de requêtes CodeQL ».

Lectures complémentaires

  •         [AUTOTITLE](/code-security/codeql-cli/using-the-advanced-functionality-of-the-codeql-cli/creating-codeql-query-suites)