{"meta":{"title":"CodeQL クエリ スイートの作成","intro":"CodeQL 分析で頻繁に使用するクエリのクエリ スイートを作成できます。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/code-security/tutorials","title":"Tutorials"},{"href":"/ja/code-security/tutorials/customize-code-scanning","title":"コード スキャンをカスタマイズする"},{"href":"/ja/code-security/tutorials/customize-code-scanning/creating-codeql-query-suites","title":"CodeQL クエリ スイートの作成"}],"documentType":"article"},"body":"# CodeQL クエリ スイートの作成\n\nCodeQL 分析で頻繁に使用するクエリのクエリ スイートを作成できます。\n\nCodeQL 分析で頻繁に使用するクエリのクエリ スイートを作成できます。 詳しくは、「[CodeQL クエリ セット](/ja/code-security/concepts/code-scanning/codeql/codeql-query-suites)」をご覧ください。\n\n> \\[!NOTE]\n> 注: クエリ スイートに追加するカスタム クエリは [CodeQL パック](/ja/code-security/codeql-cli/getting-started-with-the-codeql-cli/customizing-analysis-with-codeql-packs)内にあり、正しいクエリ メタデータを含んでいる必要があります。 詳しくは、「[CodeQL CLI のカスタム クエリの記述](/ja/code-security/how-tos/scan-code-for-vulnerabilities/scan-from-the-command-line/writing-and-sharing-custom-queries-for-the-codeql-cli)」をご覧ください。\n\n## クエリ スイートに追加するクエリの場所指定\n\nクエリ スイートを作成するときは、選びたいクエリの場所を最初に指定する必要があります。 次を使用して、1 つ以上のクエリの場所を定義できます。\n\n* ```\n          `query` 命令: CodeQL に、指定された 1 つ以上の `.ql` ファイルを検索するように指示します。\n  ```\n\n  ```yaml\n  - query: <path-to-query>\n  ```\n\n  引数は、スイート定義を含む CodeQL パックを基準にした 1 つ以上のファイル パスである必要があります。\n\n* ```\n          `queries` 命令: CodeQL に、`.ql` ファイルのディレクトリを再帰的にスキャンするように指示します。\n  ```\n\n  ```yaml\n  - queries: <path-to-subdirectory>\n  ```\n\n  ディレクトリのパスは、スイート定義ファイルを含む CodeQL パックのルートを基準にする必要があります。 別の CodeQL パックに対するクエリを検索するには、`from` フィールドを追加します。\n\n  ```yaml\n  - queries: <path-to-subdirectory>\n    from: <ql-pack-name>\n    version: ^x.y.z\n  ```\n\n  ```\n            `version` フィールドは省略可能であり、この CodeQL パックの互換性のあるバージョンの範囲を指定するものです。\n  ```\n\nバージョンを指定しない場合は、パックの最新バージョンが使用されます。\n\n* ```\n          `qlpack` 命令: CodeQL に、名前付き CodeQL パックの既定のスイートでクエリを解決するように指示します。\n  ```\n\n  ```yaml\n  - qlpack: <qlpack-name>\n    version: ^x.y.z\n  ```\n\n  クエリ パックの既定のスイートには、そのクエリ パック内で推奨されるクエリのセットが含まれています。 すべてのクエリ パックに既定のスイートがあるわけではありません。 指定されたクエリ パックで既定のスイートが定義されていない場合、qlpack 命令はパック内のすべてのクエリに解決されます。\n\n  ```\n            `version` フィールドは省略可能であり、この CodeQL パックの互換性のあるバージョンの範囲を指定するものです。\n  ```\n\nバージョンを指定しない場合は、パックの最新バージョンが使用されます。\n\n> \\[!NOTE]\n> パス名がクエリ スイート定義に表示される場合は、常にスラッシュ `/` をディレクトリ区切りとして指定する必要があります。 これにより、クエリ スイート定義がすべてのオペレーティング システムで確実に機能します。\n\nスイート定義には少なくとも 1 つの `query`、`queries`、または `qlpack` 命令を追加する必要があります。それ以外の場合、クエリは選ばれません。 スイートにこれ以上の命令が含まれない場合は、ファイルの一覧、指定されたディレクトリ、または名前付き CodeQL パックで見つかったすべてのクエリが選ばれます。 さらにフィルター処理命令がある場合は、それらの命令によって課される制約に一致するクエリのみが選ばれます。\n\n## クエリ スイートでのクエリのフィルター処理\n\n```\n          `query`、`queries`、または `qlpack` 命令を指定してスイートに追加するクエリの初期セットを定義した後、`include` と `exclude` の命令を追加できます。 次の命令では、特定のプロパティに基づいて選択条件が定義されます。\n```\n\n* クエリのセットに対して `include` 命令を実行すると、条件に一致するすべてのクエリが選択に保持され、一致しないクエリは削除されます。\n* クエリのセットに対して `exclude` 命令を実行すると、条件に一致するすべてのクエリが選択から削除され、一致しないクエリは保持されます。\n\nフィルター命令の順序は重要です。 命令の場所指定後に表示される最初のフィルター命令によって、既定でクエリを含めるか除外するかが決まります。 最初のフィルターが `include`、最初に場所指定されたクエリは、明示的な `include` フィルターと一致する場合にのみスイートの一部になります。 最初のフィルターが `exclude`、最初に場所指定されたクエリは、明示的に除外されている場合にのみスイートの一部になります。\n\n後続の命令は順番に実行され、ファイル内で後にある命令の方が前にある命令よりも優先されます。 そのため、`include` 命令は、同じクエリに一致する後の `exclude` 命令によってオーバーライドできます。 同様に、`exclude` は後の `include`によってオーバーライドできます。\n\nどちらの命令でも、引数は制約ブロックです。つまり、制約を表す YAML マップです。 各制約はマップ エントリであり、この場合のキーは通常、クエリ メタデータ プロパティです。 次の値が考えられます。\n\n* 1 つの文字列。\n* ```\n          `/` で囲まれた[正規表現](https://docs.oracle.com/en/java/javase/11/docs/api/java.base/java/util/regex/Pattern.html)。\n  ```\n* 文字列、正規表現、またはその両方を含むリスト。\n\n制約に一致させるには、メタデータ値が文字列または正規表現のいずれかに一致する必要があります。 複数のメタデータ キーがある場合は、各キーを一致させる必要があります。\n照合に使用できる標準メタデータ キーは `description`、`id`、`kind`、`name`、`tags`、`precision`、および `problem.severity` です。\nクエリ メタデータ プロパティについて詳しくは、「[CodeQL クエリのメタデータ](https://codeql.github.com/docs/writing-codeql-queries/metadata-for-codeql-queries/#metadata-for-codeql-queries)」を参照してください。\n\nメタデータ タグに加えて、制約ブロック内のキーは次の場合もあります。\n\n* ```\n          `query filename`: クエリ ファイル名の最後のパス コンポーネントと一致します。\n  ```\n* ```\n          `query path`: 外側の CodeQL からの相対パスで、クエリ ファイルのパスと一致します。\n  ```\n* ```\n          `tags contain`: 指定された照合文字列の 1 つが、`@tags` メタデータ プロパティの値のスペース区切りコンポーネントのいずれかに一致する必要があります。\n  ```\n* ```\n          `tags contain all`: 指定されたそれぞれの照合文字列が、`@tags` メタデータ プロパティのコンポーネントのいずれかに一致する必要があります。\n  ```\n\n### 実行するクエリのフィルター処理の例\n\n一般的なユース ケースは、ユーザーが実行したくない特定のクエリを除き、CodeQL パックですべてのクエリを実行するクエリ スイートを作成することです。 一般的には、クエリごとに一意で安定した識別子であるクエリ `id` でフィルター処理することをお勧めします。 次の 3 つのクエリ スイート定義は、意味的に同一であり、クエリ `id` でフィルター処理されます。\n\nこのフィルターは、除外された識別子を持つ 2 つのクエリを除き、`codeql/cpp-queries` の既定のスイート内のすべてのクエリと一致します。\n\n```yaml\n- qlpack: codeql/cpp-queries\n- exclude:\n    id:\n      - cpp/cleartext-transmission\n      - cpp/cleartext-storage-file\n```\n\nこの例では、クエリごとに個別の `exclude` 命令が使用されます。\n\n```yaml\n- qlpack: codeql/cpp-queries\n- exclude:\n    id: cpp/cleartext-transmission\n- exclude:\n    id: cpp/cleartext-storage-file\n```\n\nこの例では、正規表現によって同じ 2 つのクエリが除外されます。 また、`cpp/cleartext-` で始まる識別子を持つスイートに追加される今後のクエリも除外されます。\n\n```yaml\n- qlpack: codeql/cpp-queries\n- exclude:\n    id:\n      - /^cpp\\/cleartext-.*/\n```\n\n```\n          `codeql/cpp-queries` CodeQL パックの既定のスイート内のすべてのクエリを選び、セキュリティ クエリのみを含むように絞り込むスイートを定義するには、次を使用します。\n```\n\n```yaml\n- qlpack: codeql/cpp-queries\n- include:\n    tags contain: security\n```\n\n```\n          `@kind problem` ディレクトリから `@precision high` と `my-custom-queries` のすべてのクエリが選ばれるスイートを定義するには、次を使用します。\n```\n\n```yaml\n- queries: my-custom-queries\n- include:\n    kind: problem\n    precision: very-high\n```\n\n次のクエリ スイート定義は、上記の定義とは異なる動作をします。 この定義では、`@kind problem`\\_ または\\_`@precision very-high` であるクエリを選択します。\n\n```yaml\n- queries: my-custom-queries\n- include:\n    kind: problem\n- include:\n    precision: very-high\n```\n\n```\n          `@kind problem` を含むものを除き、`my-custom-queries` ディレクトリから `@problem.severity\n```\n\nrecommendation\\` のすべてのクエリが選ばれるスイートを作成するには、次を使用します。\n\n```yaml\n- queries: my-custom-queries\n- include:\n    kind: problem\n- exclude:\n    problem.severity: recommendation\n```\n\n```\n          `@tag security` CodeQL パックから `@precision high` と `very-high` または `codeql/cpp-queries` のすべてのクエリが選ばれるスイートを作成するには、次を使用します。\n```\n\n```yaml\n- queries: .\n  from: codeql/cpp-queries\n- include:\n    tags contain: security\n    precision:\n    - high\n    - very-high\n```\n\n> \\[!NOTE]\n\n```\n          `codeql resolve queries /path/to/suite.qls` コマンドを使用すると、クエリ スイート定義で選ばれているクエリを確認できます。 詳しくは、「[AUTOTITLE](/code-security/codeql-cli/codeql-cli-manual/resolve-queries)」をご覧ください。\n```\n\n## 既存のクエリ スイート定義の再利用\n\n既存のクエリ スイート定義は、次を指定することで再利用できます。\n\n* ```\n          `import` 命令: 以前に定義した `.qls` ファイルによって選ばれたクエリを現在のスイートに追加します。\n  ```\n\n  ```yaml\n  - import: <path-to-query-suite>\n  ```\n\n  インポートされたスイートのパスは、現在のスイート定義を含む CodeQL パックを基準にする必要があります。 インポートされたクエリ スイートが別の QL パックにある場合は、次を使用できます。\n\n  ```yaml\n  - import: <path-to-query-suite>\n    from: <ql-pack>\n    version: ^x.y.z\n  ```\n\n  ```\n            `version` フィールドは省略可能であり、この CodeQL パックの互換性のあるバージョンの範囲を指定するものです。\n  ```\n\nバージョンを指定しない場合は、パックの最新バージョンが使用されます。\n\n```\n            `import` 命令を使用して追加されたクエリは、後続の `exclude` 命令を使用してフィルター処理できます。\n```\n\n\\*\n`apply` 命令: 以前に定義した `.qls` ファイルのすべての命令を現在のスイートに追加します。 適用された `.qls` ファイル内の命令が、`apply` の代わりに表示されたかのようにして実行されます。\n適用されたスイートの `include` と `exclude` の命令は、以前の命令によって追加されたクエリにも作用します。\n\n```yaml\n- apply: <path-to-query-suite>\n```\n\n```\n            `apply` 命令を使用して、`.yml` ファイルに保存された一連の再利用可能な条件を複数のクエリ定義に適用することもできます。 詳しくは、下記の[例](#reusability-examples)をご覧ください。\n```\n\n### 再利用性の例\n\n複数のクエリ スイート定義で同じ条件を使用するには、命令を含む別の `.yml` ファイルを作成します。 たとえば、`reusable-instructions.yml` という名前のファイルに次を保存します。\n\n```yaml\n- include:\n    kind:\n    - problem\n    - path-problem\n    tags contain: security\n    precision:\n    - high\n    - very-high\n```\n\n現在のクエリ スイートと同じ CodeQL パックに `reusable-instructions.yml` を追加します。 次に、1 つ以上のクエリ スイートで、`apply` 命令を使用して、再利用可能な命令を現在のスイートに適用します。 例えば次が挙げられます。\n\n```yaml\n- queries: queries/cpp/custom\n- apply: reusable-instructions.yml\n```\n\nこれにより、`queries/cpp/custom` のクエリがフィルター処理され、再利用可能な条件に一致するもののみが含まれるようになります。\n\n別の CodeQL パックのクエリで `reusable-instructions.yml` を使用してスイート定義を作成することもできます。\n`.qls` ファイルがクエリと同じ CodeQL パックにある場合は、`from` 命令の直後に `apply` フィールドを追加できます。\n\n```yaml\n# load queries from the default suite of my-org/my-other-custom-queries\n- qlpack: my-org/my-other-custom-queries\n\n# apply the reusable instructions from the my-org/my-custom-instructions CodeQL pack\n- apply: reusable-instructions.yml\n  from: my-org/my-custom-instructions\n  version: ^1.2.3 # optional\n```\n\n```\n          `import` 命令の一般的なユース ケースは、別のクエリ スイートのクエリにさらにフィルターを適用することです。 たとえば、このスイートでは、`cpp-security-and-quality` スイートをさらにフィルター処理し、`low` と `medium` の有効桁数クエリが除外されます。\n```\n\n```yaml\n- import: codeql-suites/cpp-security-and-quality.qls\n  from: codeql/cpp-queries\n- exclude:\n    precision:\n      - low\n      - medium\n```\n\n別のスイートからインポートされたクエリを `include` する場合、構文は少し異なります。\n\n```yaml\n- import: codeql-suites/cpp-security-and-quality.qls\n  from: codeql/cpp-queries\n- exclude: {}\n- include:\n    precision:\n      - very-high\n      - high\n```\n\n空の `exclude` 命令に注目してください。 これは、後続の `include` 命令がインポートされたスイートからのクエリをフィルター処理できるようにするために必要です。\n\n## クエリ スイートの名前付け\n\nクエリ スイートの名前を指定するには、`description` 命令を指定します。\n\n```yaml\n- description: <name-of-query-suite>\n```\n\n## クエリ スイートの保存\n\n```\n          `.qls` 拡張子が付いたファイルにクエリ スイートを保存し、CodeQL パックに追加します。 詳しくは、「[AUTOTITLE](/code-security/codeql-cli/getting-started-with-the-codeql-cli/customizing-analysis-with-codeql-packs#custom-codeql-packs)」をご覧ください。\n```\n\n## CodeQL でのクエリ スイートの使用\n\n```\n          `.qls` ファイルを受け入れるコマンドに対して、コマンド ラインでクエリ スイートを指定できます。 たとえば、`query compile` を使用してスイート定義によって選ばれたクエリをコンパイルしたり、`database analyze` を使用して分析でクエリを使用したりできます。 CodeQL データベースを分析する方法について詳しくは、「[AUTOTITLE](/code-security/codeql-cli/getting-started-with-the-codeql-cli/analyzing-your-code-with-codeql-queries)」を参照してください。\n```\n\n## 詳細については、次を参照してください。\n\n* ```\n          [CodeQL クエリ](https://codeql.github.com/docs/writing-codeql-queries/codeql-queries/#codeql-queries)\n  ```"}