codeql安装以及基本使用

于 2024-08-03 21:23:41 发布
阅读量280 收藏 4
点赞数 6
文章标签: 网络安全 代码复审
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43104689/article/details/140891428
版权

0、安装环境

-安装命令行codeql-cli(执行文件)添加到path目录,设置为全局变量。

https://github.com/github/codeql-cli-binaries/releases

解压文件编辑环境变量

-安装codeql查询引擎(SDK引擎)

https://github.com/github/codeql

codeql-cli同目录下(因为codeql-cli把同层目录作为查找路径)

vscode 安装插件codeql

1、创建数据库

codeql database create ruoYi4.6Database --language=java --command="mvn clean install" --source-root=C:\XDdata\011-codeaudit\117--JavaEESQLcodeIDEAzip\RuoYi-v4.6.0\RuoYi-v4.6.0 --overwrite

  • ruoYi4.6Database:数据库名称。
  • --language=java:明确指定语言为Java。
  • --command="mvn clean install --file pom.xml -Dmaven.test.skip=true":构建命令。
  • --source-root=C:\XDdata\011-codeaudit\117--JavaEESQLcodeIDEAzip\RuoYi-v4.6.0\RuoYi-v4.6.0:源代码根目录。
  • --overwrite:如果目标数据库已存在,则覆盖。

2、配置codeql.exe,执行扫描规则

将codeql-main添加到工作区,选择语言,右键运行Codeql:Set Current Database

(真实体验还是用下面方法好!)

codeql database analyze C:\XDdata\011-codeaudit\117--JavaEESQLcodeIDEAzip\RuoYi-v4.6.0\RuoYi-v4.6.0\ruoYi4.6Database C:\XDdata\011-codeaudit\codeql-main\java\ql\src\codeql-suites\java-code-scanning.qls --format=csv --output=result.csv

 

这是CodeQL命令行工具中的一个子命令,用于对指定的CodeQL数据库进行分析。它会执行一组查询并生成分析结果。

1. C:\XDdata\011-codeaudit\117--JavaEESQLcodeIDEAzip\RuoYi-v4.6.0\RuoYi-v4.6.0\ruoYi4.6Database

这是要分析的CodeQL数据库的路径。这个数据库包含了从源代码生成的CodeQL数据库,之前已经创建好。

2. C:\XDdata\011-codeaudit\codeql-main\java\ql\src\codeql-suites\java-code-scanning.qls

这是一个CodeQL查询套件(Query Suite)的路径。查询套件是一个或多个CodeQL查询的集合,可以一次性对数据库运行多个查询。java-code-scanning.qls 通常包含了一组针对Java代码的安全扫描查询。

4. --format=csv

这个选项指定了输出结果的格式。csv 表示输出将以逗号分隔值(CSV)格式生成,便于进一步处理和分析。

5. --output=result.csv

这个选项指定了输出文件的路径和名称。结果将保存到result.csv文件中。

ikun6bu6
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CodeQL安装基本使用
^_^
08-11 2122
CodeQL是一款很知名的源码静态分析工具。本文主要介绍CodeQL安装以及如何用它自带的查询去检测漏洞。
CodeQL基本使用
蚁景网安学院
01-11 1559
这里是用codeql查找sql注入,个人感觉codeql更加考验对于漏洞的理解,比起其他传统的代码审计工具,codeql显得更加灵活。codeql其实自带了很多ql脚本,这些脚本可以帮助我们去查找漏洞最简单的方式就是使用 CodeQL CLI 捆绑包中包含的标准查询。
codeql基本使用
YJ_12340的博客
01-12 874
分析一下自动生成的脚本文件是什么意思import python // 用于引入Python语言的元数据和查询库 比如import java就是引用java的元数据和查询库 from File f // 引入文件(File)元数据的语法 select f, "Hello, world!" // (其实这是一条语句) select和sql中的select类似查询一个具体值select关键字和sql的select类似,查询一个字符串的结果。from关键字。
linux 安装codeql环境 (一)基本环境搭建
yongbaoii的博客
04-10 5096
cccccccodeql
白盒代码审计工具——CodeQL安装使用教程【Linux+Windows】
m0_54129327的博客
12-05 6467
学习CodeQL代码审计工具的总结 CodeQL安装
CodeQL从入门到入土
白帽黑客八哥的博客
06-16 813
CodeQL的查询语法有点像SQL语法,基本结构如下:import /*导入对应的语言包*/from [datatype] vat /*构建数据类型表,便于理解可以认为是声明变量*/where condition[var = something] /*设置逻辑表达式*/select var /*打印结果*/其实就三个步骤,定义数据类型,设置条件,进行查询。
CodeQL学习
公众号shadow sock7
04-17 6699
CodeQL环境搭建 参考:https://help.semmle.com/codeql/codeql-cli/procedures/get-started.html 下载 下载链接:https://github.com/github/codeql-cli-binaries/releases 下载最新的codeql.zip就可以了,比如: https://github.com/github/cod...
CodeQL自动化代码审计工具
weixin_50464560的博客
08-19 9106
为什么要写这篇文章?自从Github宣布推出CodeQL,国外越来越多安全人员使用这个项目做代码安全评估工作,截止到此刻,CodeQL在Github上已经有超过3100个Star。但是国内了解CodeQL的安全人员并不多,能google到的关于codeql的中文文章比较少。大部分中文文章,都是介绍CodeQL是什么之后,用简单的代码片段说明CodeQL的某个功能,很少有非常全面的介绍使用CodeQL对一个项目做漏洞分析的文章。这让想学习的读者一头雾水,还是不知道该如何在自己的项目上使用CodeQL。所以我想
CodeQL从入门到放弃(转载)
晓川吖的专栏
09-09 1642
为什么要写这篇文章? 自从Github宣布推出CodeQL,国外越来越多安全人员使用这个项目做代码安全评估工作,截止到此刻,CodeQL在Github上已经有超过3100个Star。 但是国内了解CodeQL的安全人员并不多,能google到的关于codeql的中文文章比较少。大部分中文文章,都是介绍CodeQL是什么之后,用简单的代码片段说明CodeQL的某个功能,很少有非常全面的介绍使用CodeQL对一个项目做漏洞分析的文章。这让想学习的读者一头雾水,还是不知道该如何在自己的项目上使用CodeQL
CodeQL数据库文件
01-18
此外,CodeQL的官方文档提供了详细的教程和指南,帮助开发者更好地理解和使用CodeQL。 总结起来,CodeQL数据库文件是针对"java-sec-code-master"项目进行分析后的产物,它为开发者提供了一个强大的工具,用于检测和...
learning-codeql:codeql学习笔记
03-27
学习代码前言codeql学习笔记只有Java该笔记是为了帮助更多想要学习codeql的新手朋友,如果你有想法和我一起帮助更多人。请发邮件加入运行截屏帮助理解Codeql代码笔记目前单纯为个人理解,如有错误还请不吝赐教。格式...
codeql_test2
02-15
CodeQL查询的编写往往涉及选择合适的类、方法和属性来构建查询语句,以及使用条件、连接和函数来细化搜索条件。此外,CodeQL还提供了丰富的库函数,如`select`, `from`, `where`, `join`等,使得查询编写更加灵活和...
codeql-uboot
04-16
您的课程“ CodeQL U-Boot挑战(C / C ++)”的GitHub存储库 欢迎参加本课程! 对于课程的每个步骤,此项目中都会创建一个新的问题,并为您提供说明。 根据这些说明,您可以通过在此存储库中编写和提交CodeQL查询来...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8362
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
如何做code review(嵌入式行业)
wu_chaowei的博客
07-21 179
code review的标准体现。
[毕业设计]VB.NET网络聊天应用开发及其优化(源代码+论文+开题报告+答辩PPT).zip
08-03
[毕业设计]VB.NET网络聊天应用开发及其优化(源代码+论文+开题报告+答辩PPT)
带直播电商功能,可以DIY前端,可以H5和小程序一般商城常用功能齐全
08-03
第一次接触这个系统,感觉和微擎有点像。也是一个主体,也很多插件的那种。 测试了下。安装成功了,站长亲测没有问题,一切都挺完善的,不过系统比较庞大,可能新手熟悉起来要一定的过程。 站长整理了一份简要的搭建说明,以及调试说明。
RT-Thread温湿度检测示例
最新发布
08-03
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
codeql vscode
08-03
CodeQL是一种用于静态代码分析的语言和工具。VSCode是一种流行的开源文本编辑器和源代码管理工具。CodeQL VSCode是将CodeQL集成到VSCode中的插件或扩展。 CodeQL是由GitHub开发的一种强大的查询语言,它能够帮助开发人员发现软件中的安全漏洞和其他代码质量问题。它使用一种基于逻辑的查询语言,允许开发人员编写自定义的查询来检查源代码,识别潜在的问题。CodeQL还提供了一组预定义的查询,用于查找已知的安全问题和常见错误模式。 VSCode是一款轻量级的开发工具,它提供了一些方便的功能,如语法高亮、自动完成、代码导航等。通过将CodeQL集成到VSCode中,开发人员可以更方便地使用CodeQL进行静态代码分析。他们可以直接在VSCode中编写和运行查询,以查找代码中的问题。同时,CodeQL VSCode还可以提供一些代码建议和修复措施,帮助开发人员更快地修复潜在的问题。 使用CodeQL VSCode,开发人员可以更早地发现和解决代码中的问题,从而提高软件的安全性和质量。他们可以利用CodeQL的强大功能,快速识别和修复潜在的漏洞,并在开发过程中遵循最佳实践。CodeQL VSCode的集成使得静态代码分析更为便捷和高效,为开发人员提供了更加舒适和友好的开发环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值