GitHub 在 GitHub.com 上为超过 200,000 个仓库存储 CodeQL 数据库,您可以使用 REST API 下载这些数据库。仓库列表不断增长和演变,以确保其包含安全研究中最有价值的代码库。
搜索数据库
您可以使用 /repos/OWNER/REPOSITORY/code-scanning/codeql/databases 端点检查仓库是否有可供下载的 CodeQL 数据库。要使用 GitHub CLI 检查 CodeQL 数据库,请运行
gh api /repos/OWNER/REPOSITORY/code-scanning/codeql/databases
此命令返回有关仓库可用的 CodeQL 数据库的信息,包括数据库对应的语言以及最近一次更新的时间。如果没有可用的 CodeQL 数据库,响应将为空。
下载数据库
确认您感兴趣的语言存在 CodeQL 数据库后,您可以使用以下命令下载它
gh api /repos/OWNER/REPOSITORY/code-scanning/codeql/databases/LANGUAGE -H 'Accept: application/zip' > LOCAL-DATABASE-FILE.zip
欲了解更多信息,请参阅 获取 CodeQL 数据库端点 的文档。
在使用 CodeQL CLI 运行分析之前,您必须解压缩这些数据库。
延伸阅读
您也可以使用 CodeQL for VS Code 扩展来分析来自 GitHub.com 的数据库。欲了解更多信息,请参阅 运行 CodeQL 查询。