{"meta":{"title":"Informationen zu Codescans mit CodeQL","intro":"Du kannst CodeQL verwenden, um Sicherheitsrisiken und Fehler in deinem Code zu identifizieren. Die Ergebnisse werden als code scanning-Warnungen auf GitHub angezeigt.","product":"Sicherheit und Codequalität","breadcrumbs":[{"href":"/de/code-security","title":"Sicherheit und Codequalität"},{"href":"/de/code-security/concepts","title":"Concepts"},{"href":"/de/code-security/concepts/code-scanning","title":"Codeüberprüfung"},{"href":"/de/code-security/concepts/code-scanning/codeql","title":"CodeQL"},{"href":"/de/code-security/concepts/code-scanning/codeql/about-code-scanning-with-codeql","title":"CodeQL-Code scannen"}],"documentType":"article"},"body":"# Informationen zu Codescans mit CodeQL\n\nDu kannst CodeQL verwenden, um Sicherheitsrisiken und Fehler in deinem Code zu identifizieren. Die Ergebnisse werden als code scanning-Warnungen auf GitHub angezeigt.\n\nCodeQL ist die von GitHub entwickelte Codeanalyse-Engine zum Automatisieren von Sicherheitsprüfungen. Du kannst deinen Code mithilfe von CodeQL analysieren und die Ergebnisse als code scanning-Warnungen anzeigen.\n\nEs gibt drei Hauptmethoden für die Verwendung der CodeQL-Analyse für code scanning:\n\n* Verwende das Standardsetup, um die CodeQL-Analyse für das code scanning in deinem Repository schnell zu konfigurieren. Beim Standardsetup werden automatisch die zu analysierende Sprache, die auszuführende Abfragesammlung und Ereignisse ausgewählt, die Überprüfungen auslösen. Wenn Sie möchten, können Sie die auszuführende Abfragesuite und die zu analysierenden Sprachen manuell auswählen. Nachdem du CodeQL aktiviert hast, werden von GitHub Actions Workflowausführungen zur Überprüfung deines Codes ausgeführt. Weitere Informationen finden Sie unter [Konfigurieren des Standardsetups für das Code-Scanning](/de/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning).\n\n* Verwende das erweitere Setup, um deinem Repository den Workflow von CodeQL hinzuzufügen. Dadurch wird eine anpassbare Workflowdatei generiert, von der [github/codeql-action](https://github.com/github/codeql-action/) dazu verwendet wird, die CodeQL CLI auszuführen. Weitere Informationen finden Sie unter [Konfigurieren des erweiterten Setups für das Code-Scanning](/de/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/configuring-advanced-setup-for-code-scanning#configuring-advanced-setup-for-code-scanning-with-codeql).\n\n* Führe die CodeQL CLI direkt in einem externen CI-System aus und lade die Ergebnisse auf GitHub hoch. Weitere Informationen finden Sie unter [Verwenden der Codeüberprüfung mit deinem vorhandenen CI-System](/de/code-security/code-scanning/integrating-with-code-scanning/using-code-scanning-with-your-existing-ci-system).\n\nFür Informationen über code scanning Warnhinweise siehe [Informationen zu Codeüberprüfungswarnungen](/de/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts).\n\n## Informationen zu CodeQL\n\nCodeQL ist eine Programmiersprache und zugehörige Tools, die Code wie Daten behandeln. Sie wurde eigens erstellt, um die Analyse von Code zu erleichtern und potenzielle Schwachstellen in deinem Code mit größerer Sicherheit zu finden als herkömmliche statische Analysatoren.\n\n1. Du generierst eine CodeQL-Datenbank zum Darstellen deiner Codebasis.\n2. Danach führst du CodeQL-Abfragen von dieser Datenbank aus, um Probleme in der Codebasis zu ermitteln.\n3. Die Ergebnisse der Abfragen werden als code scanning Warnungen in GitHub angezeigt, wenn du CodeQL mit code scanning verwendest.\n\nCodeQL unterstützt sowohl kompilierte als auch interpretierte Sprachen und kann Sicherheitsrisiken und Fehler in Code finden, der in den unterstützten Sprachen geschrieben wurde.\n\nCodeQL unterstützt die folgenden Sprachen:\n\n<!-- If you update the list of supported languages for CodeQL, update docs-internal/content/get-started/learning-about-github/github-language-support.md to reflect the changes. -->\n\n* C/C++\n* C#\n* OK\n* Java/Kotlin\n* JavaScript/TypeScript\n* Python\n* Ruby\n* Rust\n* Swift \\* GitHub Actions-Workflows\n\n> \\[!NOTE]\n>\n> * Verwenden Sie `java-kotlin` zum Analysieren von Code, der in Java, Kotlin oder beiden Sprachen geschrieben wurde.\n> * Verwenden Sie `javascript-typescript` zum Analysieren von Code, der in JavaScript, TypeScript oder beiden Sprachen geschrieben wurde.\n\nWeitere Informationen findest du in der Dokumentation auf der CodeQL-Website: [Unterstützte Sprachen und Frameworks](https://codeql.github.com/docs/codeql-overview/supported-languages-and-frameworks/).\n\n> \\[!IMPORTANT]\n> CodeQL unterstützt **nicht** Sprachen, die oben nicht aufgeführt sind. Dazu gehören und anderem **PHP** und **Scala**. Der Versuch, CodeQL mit nicht unterstützten Sprachen zu verwenden, kann dazu führen, dass keine Warnungen generiert werden und die Analyse unvollständig bleibt.\n\n## Modellieren von benutzerdefinierten oder Nischenframeworks\n\nGitHub Experten, Sicherheitsforscher und mitwirkende Community-Mitarbeiter schreiben Bibliotheken, um den Flow von Daten in gängigen Frameworks und Bibliotheken zu modellieren. Wenn du angepasste Abhängigkeiten verwendest, die nicht modelliert sind, kannst du mit der Erweiterung CodeQL für Visual Studio Code Modelle für diese Abhängigkeiten erstellen und sie zur Erweiterung deiner Analyse verwenden. Weitere Informationen finden Sie unter [Verwenden des CodeQL-Modell-Editors](/de/code-security/codeql-for-vs-code/using-the-advanced-functionality-of-the-codeql-for-vs-code-extension/using-the-codeql-model-editor).\n\n## CodeQL-Abfragen\n\nGitHub Experten, Sicherheitsforscher und Mitwirkende der Community schreiben und pflegen die standardmäßigen CodeQL Abfragen, die für code scanning verwendet werden. Die Abfragen werden regelmäßig aktualisiert, um die Analyse zu verbessern und falsche Positivergebnisse zu reduzieren.\n\n### Schreiben eigener Abfragen\n\nDie Abfragen sind Open-Source-Code, d. h. Sie können die Abfragen im [github/codeql](https://github.com/github/codeql)-Repository einsehen und zu ihnen beitragen. Weitere Informationen findest du unter [Über CodeQL Abfragen](https://codeql.github.com/docs/writing-codeql-queries/about-codeql-queries/) in der CodeQL Dokumentation.\n\n### Ausführen zusätzlicher Abfragen\n\nWenn du den Code mit dem erweiterten Setup oder einem externen CI-System scannst, kannst du zusätzliche Abfragen im Rahmen der Analyse ausführen.\n\nDiese Abfragen müssen zu einem veröffentlichten CodeQL-Abfragepaket oder einem CodeQL-Paket in einem Repository gehören.\n\n* Wenn ein CodeQL-Abfragepaket im GitHub Container registry veröffentlicht wird, sind alle für die Abfragen benötigten transitiven Abhängigkeiten und ein Kompilierungscache im Paket enthalten. So wird die Leistung verbessert und sichergestellt, dass das Ausführen der Abfragen im Paket jedes Mal zu identischen Ergebnisse führt, bis du ein Upgrade auf eine neue Version des Pakets oder der CLI durchführst.\n\n* CodeQL-Abfragepakete können von mehreren GitHub-Containerregistrierungen heruntergeladen werden. Weitere Informationen finden Sie unter [Workflowkonfigurationsoptionen für die Codeüberprüfung](/de/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning#downloading-codeql-packs-from-github-enterprise-server).\n\nWeitere Informationen finden Sie unter [Anpassen der Analyse mit CodeQL-Paketen](/de/code-security/codeql-cli/getting-started-with-the-codeql-cli/customizing-analysis-with-codeql-packs)."}