概述
CodeQL就是一种代码分析平台。借助这个平台,安全研究人员可以实现变种分析的自动化。这里所谓的变种分析,就是以已知的安全漏洞作为参照物,在我们的目标代码中寻找类似的安全问题的过程,做一个合格的应用安全工程师。
本文持续更新中,记录对Codelql工具的学习。
Codeql入门
阅读一遍以下文档基本就能掌握初步的使用了。
- 官方文档 https://codeql.github.com/docs/codeql-overview/
- Codeql快速上手 https://mp.weixin.qq.com/s/9vWSKVolqR8P1gJhN4pEOQ
- Codeql从入门到放弃 https://www.freebuf.com/articles/web/283795.html
Codeql熟练
编写Codeql规则主要是理解Codeql对相应语言的支撑,以java安全为例:
- 阅读codeql下的security规则 ,自己下载codeql-repo仓库代码查看
- 多阅读官方接口文档 https://codeql.github.com/codeql-standard-libraries/java/
Codel精通
目前还在入门阶段… 想不到精通的方法。
Codeql进阶
目前还在入门阶段… 想不到进阶的方法。
关注公众号获取更多干货