GitHub使CodeQL免费用于研究和开源

最新推荐文章于 2024-01-12 17:38:51 发布
最新推荐文章于 2024-01-12 17:38:51 发布
阅读量705 收藏
点赞数
文章标签: python rust javascript ViewUI

GitHub已免费提供CodeQL ,这是一个语义代码分析引擎和查询工具,用于在整个代码库中查找安全漏洞,任何人都可以免费使用它进行研究或分析开源代码。

CodeQL像代码一样查询代码。 开发人员可以使用CodeQL编写查询来查找漏洞的所有变体,然后与其他开发人员共享该查询。 例如,开发人员可以创建一个模仿跨站点脚本错误类的查询,然后使用该查询查找任何错误类。 CodeQL还可以用于查找零天,关键漏洞的变体以及诸如缓冲区溢出或SQL注入问题之类的缺陷。

[ 也在InfoWorld上:10个软件开发崇拜者加入 ]

CodeQL由Semmle于几年前开发,该公司于9月被GitHub收购。 在免费为开放源代码提供CodeQL之前,Semmle将其作为商业服务提供。 仍然可以根据商业许可使用私有代码存储库。

CodeQL的功能包括:

  • 用于控制和数据流分析,污染跟踪和威胁模型探索的库。 支持的语言包括C / C ++,C#,Java,JavaScript,Python等。 目前不支持的一种语言是Rust。
  • IDE的CodeQL插件。
  • LGTM查询控制台,可用于在浏览器中编写CodeQL并查询产品组合中的漏洞。
  • 能够在多个代码库上运行即用型查询或自定义查询。

[ 通过InfoWorld的App Dev Report新闻通讯了解软件开发中的热门话题 ]

如何访问CodeQL

可以在LGTM.com的LGTM查询控制台试用CodeQL

From: https://www.infoworld.com/article/3453742/github-makes-codeql-free-for-research-and-open-source.html

cxu0262
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GitHub发布安全漏洞“死对头”CodeQL,“解放”程序员双手
m0_66862559的博客
02-25 1万+
要说解决安全漏洞问题,GitHub发布的CodeQL称“第二”,没人敢称“第一”
5个好玩的github游戏区开源项目
01-25
这是一款基于 C++ 开发的免费开源回合制策略游戏,具有丰富的地图和种族设定,支持多人在线战役。玩家可以在游戏中体验到高自由度的战术布局。尽管游戏中存在一些争议,如攻击命中率较低,但这为开发者提供了改进的...
白盒代码审计工具——CodeQL安装与使用教程【Linux+Windows】
m0_54129327的博客
12-05 6376
学习CodeQL代码审计工具的总结 CodeQL的安装
CodeQL从入门到精通系列 」02.CodeQL安装指导及使用方式
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-25 3655
使用CodeQL前需要先安装CodeQL解析引擎CodeQL CLI和CodeQL SDK。CodeQL CLI为编译好的二进制文件,本身不开源Github默认提供了Windows、Linux及MacOS三个系统的版本,文件平均大小300M+。但国内从Github下载文件的速度异常慢且容易下载中断,如果是Windows平台建议直接从网盘下载。CodeQL SDK中包含了CodQL标准库和各种主流语言的常见查询规则,方便开发者进行二次开发。
CodeQL基本使用
蚁景网安学院
01-11 1550
这里是用codeql查找sql注入,个人感觉codeql更加考验对于漏洞的理解,比起其他传统的代码审计工具,codeql显得更加灵活。codeql其实自带了很多ql脚本,这些脚本可以帮助我们去查找漏洞最简单的方式就是使用 CodeQL CLI 捆绑包中包含的标准查询。
CodeQL 的安装及基本使用
^_^
08-11 2116
CodeQL是一款很知名的源码静态分析工具。本文主要介绍CodeQL的安装以及如何用它自带的查询去检测漏洞。
go-github:用于访问 GitHub API 的 Go 库-开源
08-07
go-github 是一个 Go 客户端库,用于访问 GitHub API v3。 目前,go-github 需要 Go 1.13 或更高版本。 go-github 跟踪 Go 的版本支持政策。 如果不需要,我们会尽量不破坏旧版本的 Go,但由于工具限制,我们并不...
GitHub开源项目:绝版游戏保护工程.zip
08-29
【描述】:“GitHub开源项目:绝版游戏保护工程.zip含下载地址可存云盘”说明了该项目的可访问性和易存储性。用户可以轻松下载该项目的资源,并将其保存在云端,确保这些珍贵的游戏数据不会因时间或硬件更新而...
javaweb源码github-javaweb:GitHub中的一个JavaWeb开源项目。它是免费的克隆,民间,修改和分发。热忱欢迎您进行测
05-25
GitHub上,许多开发者共享他们的JavaWeb开源项目,使得学习者和开发者能够自由地克隆、研究、修改和分发这些项目。 本项目"javaweb-source-github-javaweb"是一个典型的JavaWeb开源项目,其主要目标是提供一个...
apresentacao_github:闪电谈 GitHub开源世界
06-18
GitHub开源世界GitHub GitHub 是使用 Git 的项目的社交网络。 它于 2008 年发布,彻底改变了 OpenSource 项目的处理方式。知识GitHub 上托管了数以千计的项目,根据定义,它们都是开源的。 您可以找到不同语言的...
codeql-action:运行CodeQL分析的操作
03-19
CodeQL动作 此操作针对存储库的源代码运行GitHub行业领先的静态分析引擎CodeQL,以查找安全漏洞。然后,它会自动将结果上传到GitHub,以便可以将其显示在存储库的“安全性”选项卡中。 CodeQL运行一组可扩展的,这些是由社区和开发的,用于在您的代码中查找常见漏洞。 执照 该项目是根据。 此操作中使用的基础CodeQL CLI已根据许可。这样,可以在托管在GitHub上的开源项目以及由启用了GitHub Advanced Security的组织拥有的私有存储库上使用此操作。 用法 这是一个简短的演练,但是有关更多信息,请阅读。 要从仓库上的CodeQL分析中获取代码扫描结果,您可以使用以下工作流程作为模板: name : " Code Scanning - Action " on : push : pull_request : schedule : #
codeql使用指南
balance的博客
03-22 7386
目录 简介 hello world 1、安装codeql-cli 和 ql库 2、创建源码数据库 3、编写hello world 4、执行查询 进阶 1、扫描结果快速定位到源码 2、用作白盒扫描器 3、开发自己的查询代码 4、分析GitHub上的开源项目 简介 codeql是一门类似SQL的查询语言,通过对项目源码(C/C++、C#、golang、java、JavaScript、typescript、python)进行完整编译,并在此过程中把项目源码文件的所有相关信息(调用关.
CodeQL漏洞挖掘实战
dzqxwzoe的博客
09-19 129
CodeQL是一个白盒源码审计工具,它以一种非常新颖的方式组织代码与元数据,使研究人员能够“像查询数据库一样检索代码”,并发现其中的安全问题。GitHub于去年收购了开发CodeQL的公司Semmel,并与其联合成立了GitHub Security Lab,Semmel在此前推出了面向开源社区和企业的源代码分析平台LGTM,这个平台能够自动化的发现并预警GitHub开源软件的安全问题,同时,与CodeQL一样对开源社区与开发者保持免费。本文将从CodeQL的基础知识出发,跟随GitHub Security
CodeQL从入门到精通系列 」01.CodeQL简介
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-24 2909
CodeQL是业界领先的语义代码分析引擎,可发现代码中的漏洞。CodeQL像查询数据一样查询代码安全缺陷及漏洞,从而消除。比如CodeQL默认集成的Java类安全检查规则"不安全的反序列化",规则实现如下/**以上规则采用的编写语言为QLQL是一种声明性、面向对象的查询语言,经过优化,可实现对分层数据结构(尤其是表示软件项目的数据库)的高效分析。
codeql基本使用
最新发布
YJ_12340的博客
01-12 870
分析一下自动生成的脚本文件是什么意思import python // 用于引入Python语言的元数据和查询库 比如import java就是引用java的元数据和查询库 from File f // 引入文件(File)元数据的语法 select f, "Hello, world!" // (其实这是一条语句) select和sql中的select类似查询一个具体值select关键字和sql的select类似,查询一个字符串的结果。from关键字。
CodeQL 使用说明(一):下载安装和执行查询语句
yyyayo的博客
05-06 1851
文章目录CodeQL 下载用 CodeQL CLI 创建 database创建 database压缩 database用 CodeQL CLI 对 database 批量执行 queries附 CodeQL CLI 常用帮助命令用 CodeQL for VS Code 分析 databaseReferences CodeQL 下载 扫描引擎: 对于 CodeQL CLI 命令行工具, 支持 Linux 、 Windows 或 macOS version 10.14 (“Mojave”) 及更早的版本,下载
CodeQL 编写经验(一):规则编写语法树分析和调用分析等通用技巧
yyyayo的博客
08-18 1214
CodeQL 规则编写经验,一些踩坑记录,关于各种 CodeQL 中类的用法、语法树分析、调用分析……
思路分享:解决Codeql本地使用时编译不成功问题
天在等我,菜鸟想飞
02-10 679
CodeQL很强,基础配置啥的网上教程一堆,可以自行去搜索一下。本文主要是记录本地环境执行不成功的情况下,如何利用现有的渠道是执行我们的规则。 这里使用的就是Github自带的actions去实现。主要是为了解决如:**codeql如何扫描Android项目**中因为环境搭建失败导致无法继续使用codeql的情况。
CI/DI github CodeQL(一)python
weixin_50750933的博客
08-14 259
CodeQL
GitHub热门:57大深度学习开源项目一览
"GitHub上最受欢迎的57个深度学习开源项目" 深度学习是现代人工智能领域的一个重要组成部分,它已经在图像识别、自然语言...随着开源文化的盛行,这些项目不断进化,为深度学习研究者和工程师提供了宝贵的工具和资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值