CI/DI github CodeQL(一)python

已于 2022-08-16 11:29:40 修改
阅读量259 收藏
点赞数
文章标签: ci
于 2022-08-14 00:12:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50750933/article/details/126320074
版权

练习Test方法
SAST, DAST, SAC
SAST案例一…

result:
配置好了以后会出现这两个文件。
在这里插入图片描述

1.我本来以为版本修复的问题可以自动解决,python里面的requirements.txt文件版本可以自动修复。
2.requirements.txt相当于maven或者ant配置文件。是用于python的。

snapshot:

part1

搜索CodeQL,点击congirure按钮
在这里插入图片描述
点击右上角 start commit.
在这里插入图片描述

查看扫描结果(为什么没有一个vulnerability漏洞)
在这里插入图片描述

part2

搜索Dependency,点击congirure按钮
在这里插入图片描述

在这里插入图片描述
点击右上角 start commit.

在这里插入图片描述

依赖检查倒是有bug提示(我忘记了我是不是添加了Dependey review才有这块提示的)。
在这里插入图片描述
更新软件版本
SQLAlchemy1.3.0b2
Jinja22.11.3
numpy==1.22.0

要求:
1.github项目是public

遗留:
1.视频有介绍configure文件。但是更详细的内容没找到。

Reference:

Free for Open Source Application Security Tools
https://owasp.org/www-community/Free_for_Open_Source_Application_Security_Tools

What is GitHub Code Scanning? Find VULNERABILITIES in your code
https://www.youtube.com/watch?v=A8SERCUE-i4

github 测试项目地址
https://github.com/WillingChin/flaskProject/security

weixin_50750933
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
白盒代码审计工具——CodeQL安装与使用教程【Linux+Windows】
m0_54129327的博客
12-05 6376
学习CodeQL代码审计工具的总结 CodeQL的安装
CodeQL漏洞挖掘实战
m0_61869253的博客
03-22 189
代码审计并不是什么新兴领域,业界、学术界我们都能找到很多成熟的工具,如Fortify SCA、RIPS、Coverity等等,商业软件如Fortify提供了非常完善的规则库,它们能够快速、自动化的发现通用型的安全问题。而CodeQL更接近于一个分析框架,它赋能研究人员对审计目标进行更为复杂的安全建模,但同时也更依赖研究者对审计目标、底层技术有更为深入的理解。简单的漏洞可以靠工具发现,更复杂的漏洞就需要靠人去挖掘了。
CodeQL从入门到精通系列 」02.CodeQL安装指导及使用方式
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-25 3654
使用CodeQL前需要先安装CodeQL解析引擎CodeQL CLI和CodeQL SDK。CodeQL CLI为编译好的二进制文件,本身不开源,Github默认提供了Windows、Linux及MacOS三个系统的版本,文件平均大小300M+。但国内从Github下载文件的速度异常慢且容易下载中断,如果是Windows平台建议直接从网盘下载。CodeQL SDK中包含了CodQL标准库和各种主流语言的常见查询规则,方便开发者进行二次开发。
CodeQL从入门到精通系列 」01.CodeQL简介
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-24 2909
CodeQL是业界领先的语义代码分析引擎,可发现代码中的漏洞。CodeQL像查询数据一样查询代码安全缺陷及漏洞,从而消除。比如CodeQL默认集成的Java类安全检查规则"不安全的反序列化",规则实现如下/**以上规则采用的编写语言为QLQL是一种声明性、面向对象的查询语言,经过优化,可实现对分层数据结构(尤其是表示软件项目的数据库)的高效分析。
github Actions 执行Python项目
03-28
获取热搜,邮件推送
Python库 | sloth_ci.validators.github-1.0.4-py3-none-any.whl
04-26
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:sloth_ci.validators.github-1.0.4-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
python opencv 车牌识别 PlateRecogntionpython_PlateRecogntion.zip
04-27
python opencv 车牌识别 PlateRecogntionpython_PlateRecogntion * 车牌搜索识别找出某个车牌号 * 对比识别车牌系统 * 车牌数据库认证系统 * 车牌图文搜索系统 * 车牌数据库搜索系统 * 文件图片识别车牌 * 网络图片...
PyPI 官网下载 | github-release-ci-0.0.5.tar.gz
01-27
标题中的"PyPI 官网下载 | github-release-ci-0.0.5.tar.gz"指出这是一个从Python包索引(PyPI)官方源下载的压缩文件,名为"github-release-ci-0.0.5.tar.gz"。PyPI是Python开发者发布和分享自己编写的开源软件包的...
并行代码扫描GitHub Actions工作流的示例,展示了如何在Monorepos上并行使用CodeQL进行代码扫描
02-22
使用CodeQL进行并行代码扫描 如果您有一个包含各种独立项目的大型存储库(“ monorepo”),则可以通过将扫描工作拆分为各种并行作业来显着减少使用CodeQL扫描代码所花费的时间,这些并行作业将分别分析文件中的一个子集。存储库。 该存储库包含一个GitHub Actions的示例,正​​是该示例完成了这一。 但是,此处实施的策略仅适用于CodeQL支持的解释语言(例如Python和JavaScript)。 作为此工作流程的第一步,将检测存储库的根目录下的所有非隐藏子目录。 然后,为包含软件项目的每个子目录动态生成并行代码扫描作业。 这里的子目录 , 和代表存储库中的三个独立软件项目,每个项目将在一个专用的作业中进行扫描(即,将总共生成三个作业)。 将新的软件项目添加到该存储库(例如project-4 )不需要更改工作流程文件,因为在执行工作流程时将自动为其生成专用代码扫描作业。
思路分享:解决Codeql本地使用时编译不成功问题
天在等我,菜鸟想飞
02-10 679
CodeQL很强,基础配置啥的网上教程一堆,可以自行去搜索一下。本文主要是记录本地环境执行不成功的情况下,如何利用现有的渠道是执行我们的规则。 这里使用的就是Github自带的actions去实现。主要是为了解决如:**codeql如何扫描Android项目**中因为环境搭建失败导致无法继续使用codeql的情况。
白盒审计工具codeql的安装(踩坑)
weixin_42282189的博客
12-30 4057
作者: Beard_Lin 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 简述 最近想学习下代码审计,但是奈何语言底子太差,还没办法捉到手搓代码的地步,只能靠一些辅助工具来协助审计。 因为是想学以下java的审计,从github上找工具时发现了codeql。 他是github发布的开源白盒审计工具,可以审计多种语言,因为是开源的原因其中有很多大佬们提交的扫描规则,同时也能用ql语言写出要用的规则。 安装codeql Codeql 可执行文件:https://gi.
codeql php,用codeql来处理静态代码扫描
weixin_36250200的博客
04-14 431
根据codeql的lisence,好像的确禁止使用于工业化的生产以及商业用途。随着改革开放的深化,知识产权的加强。大家千万不要碰资本家的蛋糕,以下内容均为研究学习之用,学会了以后我要买正版的,微软爸爸!扫描设计需要git clone代码,且支持更新需要使用codeql create databasecodeql –language=java且执行codeql analyse ,如果代码更新了还要c...
Android 开源项目分类汇总
Ascetic的博客
08-06 7172
转载自:https://github.com/Trinea/android-open-project Android 开源项目源码解析(Volley、UIL、Dagger、EventBus、xUtils 等分析) Android 职位内部推荐(阿里、百度、美团、点评、魅族等) codeKK专注于开源项目源码解析、开源项目分享、Android 职位推荐。 微信公众号:
推荐一些顶级的开源CI/CD工具
热门推荐
勇往直前的专栏
01-01 2万+
CI/CD 实践对于基础设施、第三方应用程序和内部开发的应用程序同样适用。虽然有许多不同的工具可以实践 CI/CD,但这些工具都使用类似的模型。最重要的也许是,引导公司采取这种新的做法会让你在公司里处于一个强有力的地位,成为别人前进的灯塔。 持续集成、持续交付和持续部署(CI/CD)在开发社区中已经存在多年。有些组织已经有相应的运营工具,但许多没有。对于大多数组织来说,运营团队必须像开发团队一...
Jenkins自动构建(CI/DI)项目(一)
bin_zi_123的专栏
03-26 7804
因项目是前后端完全分离,因此使用Jenkins构建项目将分为两篇来写,本篇为使用Jenkins自动构架后端项目(maven项目),并自动打包发布,具体操作如下: 1. 访问Jenkins地址,如:127.0.0.1:8080,登录后进入Jenkins首页 2. 点击新建任务,输入任务名称,选择“构建一个自由风格的软件项目”,添加描述信息,选择项目运行节点(可限制) 3.选择Git,输...
GitHub 发布了一款重量级产品,可直接运行代码
茅坤宝骏氹的博客
10-30 808
转载自  GitHub 发布了一款重量级产品,可直接运行代码 【导读】10月16日,GitHub Universe开发者大会如期举行,并重磅推出GitHub Actions,平台主管Sam Lambert称,这将是GitHub历史上最大的改变。此外,GitHub还公布了2018年年度报告,各种有趣用户数据,快来一睹为快吧! GitHub大动作,开发者福利:重磅推出GitHub Actions!...
一文会用 github 新利器——github ci
tangding12的博客
11-23 5533
github ci 是什么   github cigithub 提供的一个依据 git 相关事件触发的自动化脚本服务。简单的说,当触发github的事件(push/pull request等)后,github官方会提供一个服务器环境,自动的运行先前配置的脚本,差不多近似于 gitlab 的 ci。 为项目创建 github ci   github 来检测项目是否存在 github ci 就是查看该项目根目录下的.github/workflows是否存在yml的配置文件。因此可以通过在根目录下创建 .g
CI/CD 工具选型:Jenkins 还是 GitLab CI/CD?
zz_jesse的博客
10-21 4159
作者 | Rahul Jain策划 | 田晓旭近十年来,持续集成(Continuous Integration,CI)和持续交付(Continuous Delivery,CD)领域都取得...
https://github.com/HUST-KevinWang/python/tree/main/EARTHQUAKE
最新发布
04-07
https://github.com/HUST-KevinWang/python/tree/main/EARTHQUAKE 是一个GitHub仓库,其中包含了关于地震数据处理的Python代码。这个仓库是由HUST-KevinWang创建和维护的。 在这个仓库中,你可以找到一些用Python...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值