GitHub存储CodeQL超过 200,000 个存储库的数据库,您可以在GitHub.com上使用 REST API 下载。 存储库列表在不断发展壮大,以确保其包含最有趣的安全研究代码库。
搜索数据库
您可以使用/repos/OWNER/REPOSITORY/code-scanning/codeql/databases终结点检查存储库CodeQL是否有任何数据库可供下载。 若要检查CodeQL数据库,请使用GitHub CLI运行:
gh api /repos/OWNER/REPOSITORY/code-scanning/codeql/databases
此命令返回有关可用于存储库的任何 CodeQL 数据库的信息,包括数据库所表示的语言以及上次更新数据库的时间。 CodeQL如果没有数据库可用,则响应为空。
下载数据库
确认 CodeQL 数据库存在你感兴趣的语言时,可以使用以下命令下载该数据库:
gh api /repos/OWNER/REPOSITORY/code-scanning/codeql/databases/LANGUAGE -H 'Accept: application/zip' > LOCAL-DATABASE-FILE.zip
有关详细信息,请参阅 Get CodeQL 数据库终结点的文档。
在使用 CodeQL CLI运行分析之前,必须解压缩数据库。
延伸阅读
还可以使用CodeQL扩展来分析VS Code中的数据库GitHub.com。 有关详细信息,请参阅“运行 CodeQL 查询”。