GitHub 在 GitHub.com 上为超过 200,000 个存储库存储 CodeQL 数据库,你可以通过 REST API 下载这些数据库。 存储库列表在不断发展壮大,以确保其包含最有趣的安全研究代码库。
搜索数据库
可以使用 终结点检查存储库是否有任何 CodeQL 数据库可供下载。 使用 GitHub CLI 检查 CodeQL 数据库,运行:
gh api /repos/OWNER/REPOSITORY/code-scanning/codeql/databases
此命令返回有关可用于存储库的任何 CodeQL 数据库的信息,包括数据库表示的语言以及数据库上次更新的时间。 如果没有 CodeQL 数据库可用,则响应为空。
下载数据库
确认存在感兴趣的语言的 CodeQL 数据库后,可以使用以下命令下载该数据库:
gh api /repos/OWNER/REPOSITORY/code-scanning/codeql/databases/LANGUAGE -H 'Accept: application/zip' > LOCAL-DATABASE-FILE.zip
有关详细信息,请参阅获取 CodeQL 数据库终结点文档。
在使用 CodeQL CLI 运行分析之前,必须解压缩数据库。
延伸阅读
还可以使用适用于 VS Code 的 CodeQL 扩展,从 GitHub.com 分析数据库。 有关详细信息,请参阅“AUTOTITLE”。