Conjuntos de consultas CodeQL

Você pode escolher entre diferentes conjuntos de consultas internos do CodeQL a serem usados na configuração do CodeQL code scanning.

Quem pode usar esse recurso?

O CodeQL está disponível para os seguintes tipos de repositórios:

Neste artigo

O que são suítes de consultas?

Os conjuntos de consultas permitem que você passe várias consultas ao CodeQL sem precisar especificar o caminho para cada arquivo de consulta individualmente. Eles fornecem uma maneira de selecionar consultas com base em seu nome de arquivo, propriedades de metadados ou localização no disco ou em um pacote CodeQL.

Você deve usar conjuntos de consultas para as consultas que deseja usar com frequência em suas análises de CodeQL. Você pode usar um pacote de consultas interno disponível por meio do GitHubou pode criar seu próprio.

Conjuntos de consultas internos do CodeQL

Os conjuntos de consultas internos do CodeQL, default e security-extended são criados e mantidos por GitHub. Ambas os conjuntos de consulta estão disponíveis com a configuração padrão para todos os idiomas suportados por CodeQL.

Os proprietários da organização e os gerentes de segurança podem recomendar um pacote de consultas para uso com a configuração padrão em toda a organização. Para saber mais, confira Como definir a configuração padrão da verificação de código em escala.

Para obter uma lista completa de consultas incluídas em cada conjunto de consultas para cada idioma, consulte Consultas para análise de CodeQL.

default Conjunto de consultas

  • O conjunto de consultas default é o grupo de consultas executado por padrão em CodeQL code scanning em GitHub.
  • As consultas no conjunto de consultas default são altamente precisas e retornam poucos resultados de code scanning. Em relação ao conjunto de consultas security-extended, o conjunto default retorna resultados de code scanning com menos confiança.
  • Esse pacote de consultas está disponível para uso com a configuração padrão da code scanning.

security-extended Conjunto de consultas

  • O conjunto de consultas security-extended consiste em todas as consultas no conjunto de consultas default, além de consultas adicionais com precisão e gravidade ligeiramente menores.
  • Em relação ao conjunto de consultas default, o conjunto security-extended pode retornar um número maior de resultados de code scanning falsos positivos.
  • Esse conjunto de consultas está disponível para uso com configuração padrão para code scanning e é conhecido como o conjunto de consultas "Estendido" no GitHub.

Pacotes de consulta personalizados

Para usar um pacote de consultas personalizado, você precisa definir uma configuração avançada da code scanning do CodeQL. Para saber mais, confira Como definir a configuração avançada para verificação de código.

As definições do pacote de consultas são armazenadas em arquivos YAML com a extensão .qls. Uma definição de pacote é uma sequência de instruções, em que cada instrução é um mapeamento YAML com (geralmente) uma única chave. As instruções são executadas na ordem em que aparecem na definição do pacote de consultas. Depois que todas as instruções na definição do conjunto tiverem sido executadas, o resultado será um pacote de consultas selecionadas. Para saber mais, confira Como criar conjuntos de consultas do CodeQL.

Leitura adicional

  •         [AUTOTITLE](/code-security/codeql-cli/using-the-advanced-functionality-of-the-codeql-cli/creating-codeql-query-suites)