GitHub speichert CodeQL-Datenbanken für über 200.000 Repositorys auf GitHub.com, die Sie mithilfe der REST-API herunterladen können. Die Liste der Repositorys wird ständig erweitert und aktualisiert, damit die interessantesten Codebasen für die Sicherheitsforschung enthalten sind.
Suchen nach Datenbanken
Du kannst überprüfen, ob ein Repository über CodeQL-Datenbanken verfügt, die über den /repos/OWNER/REPOSITORY/code-scanning/codeql/databases-Endpunkt heruntergeladen werden können. Führen Sie Folgendes aus, um CodeQL-Datenbanken mit dem GitHub CLI zu überprüfen:
gh api /repos/OWNER/REPOSITORY/code-scanning/codeql/databases
Dieser Befehl gibt Informationen zu allen CodeQL-Datenbanken zurück, die für ein Repository verfügbar sind, einschließlich der Sprache, in der die Datenbank vorliegt, und dem Zeitpunkt, an dem die Datenbank zuletzt aktualisiert wurde. Wenn keine CodeQL-Datenbanken verfügbar sind, ist die Antwort leer.
Herunterladen einer Datenbank
Wenn du überprüft hast, ob eine CodeQL-Datenbank für die gewünschte Sprache vorhanden ist, kannst du sie mit dem folgenden Befehl herunterladen:
gh api /repos/OWNER/REPOSITORY/code-scanning/codeql/databases/LANGUAGE -H 'Accept: application/zip' > LOCAL-DATABASE-FILE.zip
Weitere Informationen findest du in der Dokumentation zum CodeQL-Datenbankendpunkt.
Bevor du eine Analyse mit der CodeQL CLI durchführst, musst du die Datenbanken entzippen.
Weiterführende Lektüre
Du kannst Datenbanken auch aus GitHub.com analysieren, indem du CodeQL für die Erweiterung VS Code verwendest. Weitere Informationen finden Sie unter Ausführung von CodeQL-Abfragen.