มาทำความรู้จักและลองใช้งาน GitHub CodeQL กัน
ซึ่งสร้างขึ้นมาเพื่อทำการ scan sourcecode ต่าง ๆ
เพื่อตรวจสอบหาจุดบกพร่องของ code ในมุมมองของ bug และ security
หรือเป็น Static Application Security Testing (SAST)
ซึ่งสามารถเขียน query เพื่อหารูปแบบที่ต้องการได้
การใช้งาน CodeQL สามารถทำได้ดังนี้
- CodeQL CLI สามารถ integrate เข้ากับ CI pipeline ได้เลย
- Extension ใน VS Code
- Integrate เข้ากับ GitHub Actions
ตัวอย่างง่าย ๆ เช่น GitHub Actions
เป็นอีกเครื่องมือที่น่าสนใจ สำหรับการ scan code
เพื่อช่วยเพิ่มความเชื่อมั่นมากยิ่งขึ้น
ลองใช้งานกันดูครับ