demo java

Commencez par créer un nouveau référentiel à partir d'une fourche (public) ou en clonage le référentiel.

Lors de la création du référentiel fourchu, assurez-vous de

1. Sélectionnez le compte Org / utilisateur correct
2. Créez un nom pour votre nouveau référentiel
3. Désactiver le clonage de la branche principale
4. Créer le référentiel à partir du modèle

Cliquez sur l'onglet Security .

Cliquez sur Set up code scanning .

Cliquez sur le bouton Setup this workflow par analyse CodeQL.

Cela créera un fichier de workflow GitHub Actions avec CodeQL déjà configuré. Étant donné que Java est une langue compilée, vous devrez configurer la construction en étapes ultérieures. Voir la documentation si vous souhaitez configurer l'analyse CodeQL avec un système CI tiers au lieu d'utiliser des actions GitHub.

Le fichier de workflow Actions contient un certain nombre de sections différentes, notamment:

1. Vérification du référentiel
2. Initialisation de l'action CodeQL
3. Exécuter Autobuilder (ou coder vos propres étapes de construction si Autobuild ne fonctionne pas)
4. Exécution de l'analyse CodeQL

Cliquez sur Start Commit -> Commit this file pour commettre les modifications à la branche principale .

Il existe un certain nombre d'événements qui peuvent déclencher un workflow GitHub Actions. Dans cet exemple, le flux de travail sera déclenché sur

• Poussez vers la branche principale
• Tirez la demande de fusion à la branche principale
• Dans les délais, à 6h33 tous les jeudis

La configuration du nouveau flux de travail CodeQL et l'engagement à la branche principale dans l'étape ci-dessus déclenchera le scan.

Cliquez sur l'onglet Actions -> CodeQL

Cliquez sur l'exécution de workflow spécifique. Vous pouvez voir les progrès du flux de travail exécuté jusqu'à la fin de l'analyse.

Une fois le workflow terminé, cliquez sur l'onglet Security -> Code Scanning Alerts . Une alerte de sécurité «requête construite à partir de sources contrôlées par l'utilisateur» doit être visible.

Cliquer sur l'alerte de sécurité fournira des détails sur l'alerte de sécurité, notamment:

• Une description du problème
• Une balise au CWE auquel il est connecté ainsi que le type d'alerte (erreur, avertissement, note)
• La ligne de code qui a déclenché l'alerte de sécurité
• La capacité de rejeter l'alerte en fonction de certaines conditions («faux positif»? «Ne réparera pas»? «Utilisé dans les tests»?)

Cliquez sur Show more pour afficher une desciction complète de l'alerte, y compris des exemples et des liens vers des informations supplémentaires.

L'analyse CodeQL est capable de tracer le chemin de flux de données de la source à l'énigme et vous donne la possibilité de visualiser la traversée de chemin dans l'alerte.

Cliquez sur show paths afin de voir le chemin de données de données qui a abouti à cette alerte.

Afin de réparer cette alerte spécifique, nous devrons nous assurer que les paramètres utilisés dans la requête SQL sont validés et désinfectés.

Cliquez sur l'onglet Code et modifiez le fichier IndexController.java dans le dossier Controllers , remplacez le contenu par le fichier fixme .

Cliquez sur Create a new branch for this commit and start a pull request , nommez la branche fix-sql-injection et créez la demande de traction.

Dans la demande de traction, vous remarquerez que l'analyse CodeQL a commencé comme une vérification d'état. Attendez jusqu'à ce qu'il se termine.

Une fois le workflow terminé, cliquez sur Details par les Code Scanning Results / CodeQL .

Notez que la numérisation du code a détecté que cette demande de traction corrigera la vulnérabilité d'injection SQL détectée auparavant.

Fusionner la demande de traction. Une fois la demande de traction fusionnée, un autre workflow démarrera pour scanner le référentiel pour toute vulnérabiltie.

Une fois le workflow final terminé, accédez à l'onglet Security et cliquez sur Closed . Notez que la requête construite à partir d'alerte de sécurité des sources contrôlées par l'utilisateur apparaît désormais comme un problème fermé.

Cliquez sur l'alerte de sécurité et remarquez qu'il détaille lorsque le correctif a été effectué, par qui, et le commit spécifique. Cela fournit une traçabilité complète pour détailler quand et comment une alerte de sécurité a été fixée et exactement ce qui a été modifié pour résoudre le problème.

Maintenant que nous avons configuré l'analyse CodeQL et avoir corrigé une alerte de sécurité, nous pouvons essayer d'introduire une alerte dans une demande de traction.

Créez une nouvelle demande de traction avec la branche de base en tant que branche main et la succursale de comparaison en tant que succursale new-feature .

Assurez-vous que la branche de base est définie sur votre propre branche main des référentiels par rapport à la branche main du référentiel d'origine.

Une fois la demande de traction créée, vous remarquerez que l'analyse CodeQL a commencé comme une vérification d'état. Attendez jusqu'à ce qu'il se termine.

Une fois le workflow terminé, la vérification de l'état Code Scanning Results / CodeQL aura échoué. Remarquez que la numérisation de code a détecté que cette demande de traction introduit une nouvelle alerte de sécurité.

Directement dans la demande de traction, vous remarquerez que le bot de numérisation du code GitHub a laissé un examen de la demande de traction avec les détails de l'alerte de sécurité. Cela aidera les développeurs à identifier rapidement les problèmes de sécurité introduits dans leurs demandes de traction.

Cela permet également à la collaboration entre les développeurs et les équipes de sécurité de discuter de l'alerte de sécurité et de la façon de le remédier.

Cliquez sur Show more details par la nouvelle Code Scanning Alert pour sauter dans l'onglet Security et afficher les détails de l'alerte de sécurité.

Notez que l'alerte de sécurité a été trouvée In pull request et non dans la branche main (production).