CodeQL安装部署配置扫描Java漏洞使用经验

已于 2023-08-01 15:20:24 修改
阅读量569 收藏 1
点赞数 1
文章标签: 网络安全
于 2023-08-01 15:15:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55839239/article/details/132042820
版权

1.下载CodeQL CLI

https://github.com/github/codeql-cli-binaries/releases

2.下载标准的扫描规则CodeQL libraries and queries

https://github.com/github/codeql

3.解压到同一文件夹,配置CodeQL CLI环境变量

配置环境变量后,控制台输入codeql version验证是否成功

4.安装 VSCode CodeQL 插件

设置 CodeQL CLI 可执行文件 codeql.exe 的安装路径

5.进行项目漏洞扫描

进入目标代码目录
创建源码数据库
codeql database create dbname --language=java --command="mvn clean install"
--language要根据具体项目的编译语言指定;另外--command参数如果不指定,会使用默认的编译命令和参数。
在 VSCode 打开扫描规则 CodeQL libraries and queries
在 VSCode 添加数据库
选择具体语言的规则进行扫描,例如:java语言的规则。ql后缀的文件是规则扫描文件
可以一次选择一条或者多条规则就行扫描,但是一次性不能超过 20 条规则。点击CodeQL:Run Queries in Selected Files后,弹出一个对话框,选择Yes;即可执行扫描操作。
The cai135
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
linux-codeql
04-13
WebGoat.Net OWASP的WebGoat官方存储库(ASP.NET WebForms版本)临时
CodeQL代码安全扫描工具安装部署
IT天空-我是一滴雨水
04-26 1685
CodeQL 是开发人员用来自动化安全检查的分析引擎,安全研究人员用来执行变体分析。 在 CodeQL 中,代码被视为数据。安全漏洞、错误和其他错误被建模为可以针对从代码中提取的数据库执行的查询。
白盒代码审计工具——CodeQL安装使用教程【Linux+Windows】
m0_54129327的博客
12-05 6320
学习CodeQL代码审计工具的总结 CodeQL安装
CodeQL从入门到精通系列 」02.CodeQL安装指导及使用方式
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-25 3495
使用CodeQL前需要先安装CodeQL解析引擎CodeQL CLI和CodeQL SDK。CodeQL CLI为编译好的二进制文件,本身不开源,Github默认提供了Windows、Linux及MacOS三个系统的版本,文件平均大小300M+。但国内从Github下载文件的速度异常慢且容易下载中断,如果是Windows平台建议直接从网盘下载。CodeQL SDK中包含了CodQL标准库和各种主流语言的常见查询规则,方便开发者进行二次开发。
Codeql 环境手模手搭建和简单使用
god_Zeo的安全博客
03-14 8252
0x00 前言   最近这个东西实在太火了,而且log4j 和最近的Spring Cloud Gateway 都说是利用codeql来挖掘的,好不好用先用了再说。所以学习一下这个东西    0x01 CodeQL是什么      在我接触这个东西之前,我一直以为这是一个代码审计的工具,类似于Fortify rips 这种东西?   但其实并不是,理解大大错了。。。 还记得记得SQL的全称吗? -> Structured Query Language:结构化查询语言 所以我
【作者踩坑总结0错版】vscode配置codeql-MacBook(M1-M2芯片-arm)
最新发布
Karka_的博客
02-20 2258
最近在弄代码审计,要配置codeql,这工具在国外很流行,但是国内的资料缺非常少,b站的视频讲的太水了,九不搭八,外网的视频又听不太懂,跟着csdn上面其他博主的配置步骤来搞疯狂报错!!!!搞了2天都搞不定,无奈,还是得靠自己来。所以有了这篇文章,跟着我的来,绝对不会出错,如果跟着一步步来还是报错,是兄弟直接来砍我。提示:以下是本篇文章正文内容,下面案例可供参考再接再厉,学好代码审计。文章原创,欢迎转载,请注明文章出处:【作者踩坑总结0错版】vscode配置codeql-MacBook(M1/M2芯片-
codeql-java-queries:个人LGTM CodeQL查询
02-23
codeql-java-query 个人以尝试使用CodeQL for Java源代码。 这些查询可能未针对性能进行优化,并且可能包含错误。 其中一些是基于自身的经验问题,而某些则可能存在或可能不存在于现有的代码扫描产品中。 如果您认为...
CodeQLJava类库CodeQLibraryorava)1
08-03
CodeQLJava类库是用于分析Java代码的强大工具,它包含了一系列预定义的类和谓词,便于进行静态代码分析和安全漏洞检测。这个库通过QL模块(.qll文件)实现,允许开发者以面向对象的方式访问和操作CodeQL数据库中的...
codeql-dotnet-framework:具有代码扫描功能的.NET Framework示例
02-11
在 `codeql-dotnet-framework-master` 文件夹中,可能包含配置文件、查询脚本和示例代码,用于演示如何对 .NET Framework 项目应用 CodeQL 扫描。 ### 5. 安全性和质量检查 CodeQL 查询库包含了针对多种常见安全...
codeql-examples-public:codeql示例
03-04
Java开发中,CodeQL可以帮助我们识别潜在的安全漏洞、错误模式、代码异味(code smell)和其他不良实践。下面我们将深入探讨CodeQLJava环境中的应用以及如何利用这些示例来提升你的代码质量分析能力。 1. **...
CodeQL数据库文件
01-18
总结起来,CodeQL数据库文件是针对"java-sec-code-master"项目进行分析后的产物,它为开发者提供了一个强大的工具,用于检测和预防Java代码中的安全漏洞和质量问题。通过理解和应用CodeQL,我们可以提高代码质量,...
Macbook M1部署CodeQL
u014289196的博客
07-31 372
codeql安装部署
codeql安装(从0开始的codeql之旅)
qq_40131760的博客
05-06 2201
本文章为多次尝试之后,自己成功安装并运行成功codeql的记录 下载 建议下载之前先新建一个codeql目录,下载和clone的东西都放在下面 首先安装最新版的vsCode 安装扩展 在其中搜索并安装CodeQl拓展 下载codeql引擎 接着下载codeql引擎,选择对应版本即可 点击小齿轮,Extension Settings 打开拓展设置 把刚才下载并解压的ql引擎文件中的codeql.exe的路径填写上去 同时把codeql.exe的路径配置到环境变量path中去,这一步是为了后面使用命令行
vscode 配置 codeql
SHELLCODE_8BIT的博客
02-25 805
vscode 配置 codeql
【作者踩坑总结0错版】vscode配置codeql-MacBook(M1/M2芯片-arm)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
05-13 2740
codeql是一款静态代码分析引擎,适用于安全人员审计源码,挖掘漏洞。在macbook上的vscode配置codeql
一、内部类(inner class)
bdubvxhbxb的博客
10-25 384
一、内部类(inner class) 1、定义 ​ 在一个类中,定义另一个类的代码结构,通常定义在类内部的类称为 “内部类” ,外面的类称为“外部类” , 在逻辑关系上 内部类与外部类是从属关系,比如 一个People类 存在收货地址类(收货人,收货联系方式) 2、分类 ​ 2.1、 普通内部类(inner class),一个类A中定义另一个类B,其中类B就是类A的内部类,也是类A的一部分 ​ public class People { priv
CodeQL从入门到精通系列 」01.CodeQL简介
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-24 2805
CodeQL是业界领先的语义代码分析引擎,可发现代码中的漏洞CodeQL像查询数据一样查询代码安全缺陷及漏洞,从而消除。比如CodeQL默认集成的Java类安全检查规则"不安全的反序列化",规则实现如下/**以上规则采用的编写语言为QL,QL是一种声明性、面向对象的查询语言,经过优化,可实现对分层数据结构(尤其是表示软件项目的数据库)的高效分析。
CodeQL 源代码漏洞扫描
SHELLCODE_8BIT的博客
12-29 1158
codeql 漏洞扫描
CodeQL安装及基本使用
^_^
08-11 2110
CodeQL是一款很知名的源码静态分析工具。本文主要介绍CodeQL安装以及如何用它自带的查询去检测漏洞
codeql vscode
08-03
CodeQL是一种用于静态代码分析的语言和工具。VSCode是一种流行的开源文本编辑器和源代码管理工具。CodeQL VSCode是将CodeQL集成到VSCode中的插件或扩展。 CodeQL是由GitHub开发的一种强大的查询语言,它能够帮助开发人员发现软件中的安全漏洞和其他代码质量问题。它使用一种基于逻辑的查询语言,允许开发人员编写自定义的查询来检查源代码,识别潜在的问题。CodeQL还提供了一组预定义的查询,用于查找已知的安全问题和常见错误模式。 VSCode是一款轻量级的开发工具,它提供了一些方便的功能,如语法高亮、自动完成、代码导航等。通过将CodeQL集成到VSCode中,开发人员可以更方便地使用CodeQL进行静态代码分析。他们可以直接在VSCode中编写和运行查询,以查找代码中的问题。同时,CodeQL VSCode还可以提供一些代码建议和修复措施,帮助开发人员更快地修复潜在的问题。 使用CodeQL VSCode,开发人员可以更早地发现和解决代码中的问题,从而提高软件的安全性和质量。他们可以利用CodeQL的强大功能,快速识别和修复潜在的漏洞,并在开发过程中遵循最佳实践。CodeQL VSCode的集成使得静态代码分析更为便捷和高效,为开发人员提供了更加舒适和友好的开发环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值