{"meta":{"title":"CodeQL パックを使った分析のカスタマイズ","intro":"CodeQL パックを使用して、他のユーザーが管理している CodeQL クエリを実行したり、自分が開発した CodeQL クエリを共有したりすることができます。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/code-security/tutorials","title":"Tutorials"},{"href":"/ja/code-security/tutorials/customize-code-scanning","title":"コード スキャンをカスタマイズする"},{"href":"/ja/code-security/tutorials/customize-code-scanning/customizing-analysis-with-codeql-packs","title":"分析のカスタマイズ"}],"documentType":"article"},"body":"# CodeQL パックを使った分析のカスタマイズ\n\nCodeQL パックを使用して、他のユーザーが管理している CodeQL クエリを実行したり、自分が開発した CodeQL クエリを共有したりすることができます。\n\n他のユーザーが作成したパックをダウンロードし、コードベースで実行することで、CodeQL 分析をカスタマイズできます。 詳しくは、「[CodeQL クエリ パック](/ja/code-security/concepts/code-scanning/codeql/codeql-query-packs)」をご覧ください。\n\n## CodeQL クエリ パックのダウンロードと使用\n\nCodeQL クエリ パックを使ってデータベースを分析する前に、GitHub Container registry から必要なパッケージをすべてダウンロードする必要があります。 これは、`--download` コマンドの一部として `codeql database analyze` フラグを使うか、`codeql pack download` を実行することで可能です。 パッケージが一般公開されていない場合は、認証に GitHub App または personal access token を使う必要があります。 詳細と例については、「[CodeQL 分析結果をGitHubにアップロードする](/ja/code-security/codeql-cli/getting-started-with-the-codeql-cli/uploading-codeql-analysis-results-to-github#uploading-results-to-github)」をご覧ください。\n\n| Option                                                                             |                                                                                                                                                                                                              必須                                                                                                                                                                                                              | Usage                                                                                                                                                                                                      |\n| ---------------------------------------------------------------------------------- | :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------: | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| <code><span style=\"white-space: nowrap;\">\\<scope/name\\@version:path></span></code> |                                                   <svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-check\" aria-label=\"check icon\" role=\"img\"><path d=\"M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z\"></path></svg>                                                  | コンマ区切りリストを使用して、ダウンロードする 1 つまたは複数の CodeQL クエリ パックのスコープと名前を指定します。 必要に応じて、ダウンロードして解凍するバージョンを含めます。 既定では、このパックの最新バージョンがダウンロードされます。 必要に応じて、実行するクエリ、ディレクトリ、またはクエリ スイートへのパスを含めます。 パスが含まれていない場合、このパックの既定のクエリを実行します。 |\n| <code><span style=\"white-space: nowrap;\">--github-auth-stdin</span></code>         | <svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-x\" aria-label=\"x icon\" role=\"img\"><path d=\"M3.72 3.72a.75.75 0 0 1 1.06 0L8 6.94l3.22-3.22a.749.749 0 0 1 1.275.326.749.749 0 0 1-.215.734L9.06 8l3.22 3.22a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215L8 9.06l-3.22 3.22a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042L6.94 8 3.72 4.78a.75.75 0 0 1 0-1.06Z\"></path></svg> | GitHub の REST API での認証用に作成された GitHub App または personal access token を標準入力でシークレット ストアから CLI に渡します。 このトークンを使用して設定された `GITHUB_TOKEN` 環境変数にコマンドがアクセスできる場合、これは必要ありません。                                           |\n\n> \\[!NOTE]\n> 特定のバージョンのクエリ パックを使用するよう指定する場合は、指定したバージョンが、最新バージョンの CodeQL では最終的に古くなりすぎて効率的に使用できなくなる可能性があることに注意してください。 最適なパフォーマンスを確保するために、特定のバージョンのクエリ パックを指定する必要がある場合は、使用している CodeQL CLI CLI をアップグレードするたびに、ピン留めするバージョンを再評価する必要があります。\n>\n> パックの互換性について詳しくは、「[CodeQL クエリパック参照](/ja/code-security/reference/code-scanning/codeql/codeql-cli/codeql-query-packs#codeql-pack-compatibility)」をご覧ください。\n\n### クエリ パックのダウンロードと使用の基本的な例\n\nこの例では、`codeql database analyze` コマンドに `--download` オプションを付けて実行しています。\n\n1. 最新バージョンの `octo-org/security-queries` パックをダウンロードします。\n2. バージョン 1.0.1 と`octo-org/optional-security-queries`互換性のある\\_バージョンの\\_パックをダウンロードします (この場合はバージョン 1.0.2 です)。 semver の互換性については、[npm のセマンティック バージョンの範囲に関するドキュメント](https://github.com/npm/node-semver#ranges)を参照してください。\n3. ```\n          `octo-org/security-queries` の既定のクエリをすべて実行します。\n   ```\n4. ```\n          `queries/csrf.ql` のクエリ `octo-org/optional-security-queries` だけを実行します\n   ```\n\n```shell\n$ echo $OCTO-ORG_ACCESS_TOKEN | codeql database analyze --download /codeql-dbs/example-repo \\\n    octo-org/security-queries \\\n    octo-org/optional-security-queries@~1.0.1:queries/csrf.ql \\\n    --format=sarif-latest --output=/temp/example-repo-js.sarif\n\n> Download location: /Users/mona/.codeql/packages\n> Installed fresh octo-org/security-queries@1.0.0\n> Installed fresh octo-org/optional-security-queries@1.0.2\n> Running queries.\n> Compiling query plan for /Users/mona/.codeql/packages/octo-org/security-queries/1.0.0/potential-sql-injection.ql.\n> [1/2] Found in cache: /Users/mona/.codeql/packages/octo-org/security-queries/1.0.0/potential-sql-injection.ql.\n> Starting evaluation of octo-org/security-queries/query1.ql.\n> Compiling query plan for /Users/mona/.codeql/packages/octo-org/optional-security-queries/1.0.2/queries/csrf.ql.\n> [2/2] Found in cache: /Users/mona/.codeql/packages/octo-org/optional-security-queries/1.0.2/queries/csrf.ql.\n> Starting evaluation of octo-org/optional-security-queries/queries/csrf.ql.\n> [2/2 eval 694ms] Evaluation done; writing results to octo-org/security-queries/query1.bqrs.\n> Shutting down query evaluator.\n> Interpreting results.\n```\n\n### CodeQL パックの直接ダウンロード\n\nCodeQL パックをダウンロードしてすぐに実行しない場合、`codeql pack download` コマンドを使用できます。 これは、CodeQL クエリを実行するとき、インターネットへのアクセスをしないようにする場合、便利です。 CodeQL 分析を実行するとき、前の例と同じ方法でパック、バージョン、パスを指定できます。\n\n```shell\necho $OCTO-ORG_ACCESS_TOKEN | codeql pack download <scope/name@version:path> <scope/name@version:path> ...\n```\n\n### 複数の GitHub コンテナー レジストリから CodeQL パックをダウンロードする\n\nCodeQL パックが複数のコンテナー レジストリに存在する場合は、各パックを検索する場所を CodeQL CLI に示す必要があります。 詳しくは、「[コード スキャンのワークフロー構成オプション](/ja/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning#downloading-codeql-packs-from-github-enterprise-server)」をご覧ください。\n\n## CodeQL パックで実行するクエリの指定\n\nクエリ指定子は、一連のクエリに対して動作する `codeql database analyze` やその他のコマンドによって使用されます。\nクエリ指定子の完全な形式は `scope/name@range:path` です。各値は次のとおりです。\n\n* ```\n          `scope/name` は、CodeQL パックの修飾名です。\n  ```\n* ```\n          `range` は [semver 範囲](https://docs.npmjs.com/cli/v6/using-npm/semver#ranges)です。\n  ```\n* ```\n          `path` は、単一のクエリ、クエリを含むディレクトリ、またはクエリ スイート ファイルへのファイル システム パスです。\n\n          `scope/name` を指定する場合は、`range` と `path` を省略できます。 \n          `range` を省略すると、指定したパックの最新バージョンが使用されます。 \n          `path` を省略すると、指定したパックの既定のクエリ スイートが使用されます。\n\n          `path` は、`.ql` クエリ ファイル、1 つまたは複数のクエリを含むディレクトリ、または `.qls` クエリ スイート ファイルにすることができます。 パック名を省略する場合は、`path` を指定する必要があります。これは、現在のプロセスの作業ディレクトリに対して相対的であると解釈されます。 glob パターンはサポートされていません。\n\n          `scope/name` と `path` の両方を指定した場合は、`path` を絶対にすることはできません。 これは、CodeQL パックのルートに対して相対的であると見なされます。\n  ```\n\n### クエリ指定子の例\n\n* ```\n          `codeql/python-queries` - 最新バージョンの `codeql/python-queries` パックの既定のクエリ スイート内のすべてのクエリ。\n  ```\n\n* ```\n          `codeql/python-queries@1.2.3` - バージョン `1.2.3` の `codeql/python-queries` パックの既定のクエリ スイート内のすべてのクエリ。\n  ```\n\n* ```\n          `codeql/python-queries@~1.2.3` - 最新バージョン (`codeql/python-queries` 以上、`1.2.3` 未満) の `1.3.0` パックの既定のクエリ スイート内のすべてのクエリ。\n  ```\n\n* ```\n          `codeql/python-queries:Functions` - 最新バージョンの `Functions` パックの `codeql/python-queries` ディレクトリ内のすべてのクエリ。\n  ```\n\n* ```\n          `codeql/python-queries@1.2.3:Functions` - バージョン 1.2.3 の `Functions` パックの `codeql/python-queries` ディレクトリ内のすべてのクエリ。\n  ```\n\n* ```\n          `codeql/python-queries@1.2.3:codeql-suites/python-code-scanning.qls` - バージョン 1.2.3 の `codeql-suites/python-code-scanning.qls` パックの `codeql/python-queries` ディレクトリ内のすべてのクエリ。\n  ```\n\n* ```\n          `suites/my-suite.qls` - 現在の作業ディレクトリに対して相対的な `suites/my-suite.qls` ファイル内のすべてのクエリ。\n  ```\n\n> \\[!TIP]\n> 標準の CodeQL クエリ パックの既定のクエリ スイートは `codeql-suites/<lang>-code-scanning.qls` です。 その他の便利なクエリ スイートも、各パックの `codeql-suites` ディレクトリにあります。 たとえば、`codeql/cpp-queries` パックには次のクエリ スイートが含まれています。\n>\n> *\n\n```\n          `cpp-code-scanning.qls` - C++ の標準コード スキャン クエリ。 このパックの既定のクエリ スイート。\n```\n\n> *\n\n```\n          `cpp-security-extended.qls` - C++ の既定の `cpp-code-scanning.qls` スイートからのクエリに加え、重要度と精度の低いクエリ。\n```\n\n> *\n\n```\n          `cpp-security-and-quality.qls` - `cpp-security-extended.qls` からのクエリに加え、保守性および信頼性のクエリ。\n```\n\n> これらのクエリ スイートのソースは、[CodeQL リポジトリ](https://github.com/github/codeql/tree/main/cpp/ql/src/codeql-suites)で確認できます。 他の言語のクエリ スイートも同様です。\n\n## モデル パックを使用して、依存関係をカスタムする呼び出しを分析する\n\n公開されたモデル パックは、`--model-packs` オプションを使用して code scanning 分析に含めることができます。 例えば次が挙げられます。\n\n```shell\n$ codeql database analyze /codeql-dbs/my-company --format=sarif-latest \\\n  --model-packs my-repo/my-java-model-pack \\\n  --output=/temp/my-company.sarif codeql/java-queries\n```\n\nこの例では、標準クエリ パック `codeql/java-queries` の関連するクエリは、モデル パック、`my-repo/my-java-model-pack` の依存関係情報を使用して、それらの依存関係を呼び出すコードの脆弱性をチェックします。\n\n1 つの分析で複数の公開済みモデル パックを指定できます。\n\n独自のモデル パックの記述の詳細については、「[CodeQL パックの作成と操作](/ja/code-security/codeql-cli/using-the-advanced-functionality-of-the-codeql-cli/creating-and-working-with-codeql-packs#creating-a-model-pack)」を参照してください。\n\n### 発行済みパックについて\n\nパックが分析で使用するために発行されると、`codeql pack create` または `codeql pack publish` コマンドによって、コンテンツが完全であることが確認され、コンテンツのいくつかの部分が追加されます。\n\n* クエリ パックの場合、それが依存する各ライブラリ パックのコピーであり、開発に使用された正確なバージョンです。 クエリ パックのユーザーは、これらのライブラリ パックを個別にダウンロードする必要はありません。\n\n* クエリ パックの場合、各クエリのプリコンパイル済み表現。 これらは、分析ごとにクエリの QL ソースをコンパイルするよりも高速に実行できます。\n\nこのデータのほとんどは、発行済みパック内の `.codeql` という名前のディレクトリにありますが、プリコンパイル済みクエリは、各クエリの `.qlx` ソースの後にサフィックス `.ql` が付いたファイル内にあります。 発行済みパックのクエリを使用してデータベースを分析する場合、CodeQL は、`.ql` ソースの代わりにこれらのファイルをロードします。 \"発行済み\" パックのコンテンツを変更する必要がある場合、必ず \\_\\_ ファイルをすべて削除してください。これらによって、`.qlx` ファイルの変更を有効にできなくなる可能性があります。`.ql`"}