codeql 代码分析工具

最新推荐文章于 2022-04-13 12:22:24 发布
最新推荐文章于 2022-04-13 12:22:24 发布
阅读量459 收藏 1
点赞数
分类专栏: CodeQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhdxhdxhd/article/details/119032234
版权

介绍

vscode安装和使用

如果你想分析自己的代码仓库,你需要安装完整的codeql CLI, 推荐使用vscode扩展。

1.安装CLI工具和相应的库

整体工具组成如下:

~/codeql-home
  |
  |
   -- codeql
  |    |
  |     ---codeql      codeql可执行文件     
  |
   -- codeql-repo      code的代码仓库 git clone --depth 1 https://github.com/github/codeql codeql-repo
  |
   -- codeql-go        go分析器  git clone --depth 1 https://github.com/github/codeql-go

# 下载
# 解压到~/codeql-home
mkdir ~/codeql-home
cd ~/codeql-home
git clone --depth 1 https://github.com/github/codeql codeql-repo
git clone --depth 1 https://github.com/github/codeql-go

# 下载codeql-macosx.zip
unzip ~/Downloads/codeql-macosx.zip # 解压到 ~/codeql-home/codeql目录
~/codeql-home/codeql/codeql version # 输出版本号

在vscode中安装codeql插件,并配置codeql的路径为:$HOME/codeql-home/codeql/codeql(不要使用~,而是使用$HOME)

2.创建ql database

# codeql-database 为将要生成的目录,用于存放codeql分析生成的结果
~/codeql-home/codeql/codeql database create codeql-database --language=go

这个过程会持续很久(取决于仓库依赖的包数量)

3.在vscode中添加database

创建完database之后,在生成的目录上右键,选择设置为当前数据库:
在这里插入图片描述

4.查询示例

cmd+shift+p执行命令:CodeQL: Quick Query

示例:找到所有对结构体作为Receiver的方法:

import go

from Method m, Variable recv
where
  recv = m.getReceiver() and
  not recv.getType() instanceof PointerType
select m, "This method has non-pointer receiver:"+ recv

结果:
在这里插入图片描述
在这里插入图片描述

5.注意事项

可以不加 @kind problem, select返回两列仍然是有效的。
注意,并不是所有的元素都能被提供定位,比如:

import go

from Type t,string pkgName
where t.hasQualifiedName(pkgName, "MultiPackUserHandler")
select t,"it's a problem"

在这里插入图片描述
在这个例子中,能够提供定位的是t.getEntity()

import go

from Type t,string pkgName
where t.hasQualifiedName(pkgName, "MultiPackUserHandler")
select t.getEntity(),"it's a problem"

在这里插入图片描述

ql文件

基本组成

/**
 *
 * Query metadata
 *
 */

import /* ... CodeQL libraries or modules ... */

/* ... Optional, define CodeQL classes and predicates ... */

from /* ... variable declarations ... */
where /* ... logical formula ... */
select /* ... expressions ... */

返回两列

输出包含:element,message 前者用于定位具体节点,后者用于显示消息。
在这里插入图片描述

好吃吗
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码分析工具
03-20
Eclipse is more than a state-of-the-art IDE: its Rich Client Platform (RCP) plug-ins form an outstanding foundation for any desktop application, from chat applications to enterprise software front-ends. In Eclipse Rich Client Platform, two leaders of the Eclipse RCP project show exactly how to leverage Eclipse for rapid, efficient, cross-platform desktop development. In addition to explaining
程序代码分析工具
最新发布
qq_46457076的博客
04-04 704
Doxygen + Graphviz 程序代码分析工具快速分析函数间的调用关系。
learning-codeql:codeql学习笔记
03-27
请发邮件加入运行截屏帮助理解Codeql代码笔记目前单纯为个人理解,如有错误还请不吝赐教。格式说明目前都是中英文对照翻译,翻译大部分是机翻,会小幅度修改部分。目录内容codeql自定义查询Java codeql的一些语法...
codeql-action:运行CodeQL分析的操作
03-19
此操作针对存储库的源代码运行GitHub行业领先的静态分析引擎CodeQL,以查找安全漏洞。然后,它会自动将结果上传到GitHub,以便可以将其显示在存储库的“安全性”选项卡中。 CodeQL运行一组可扩展的,这些是由社区和...
CodeQL数据库文件
01-18
以开源靶场java-sec-code-master项目生成的CodeQL数据库文件
codeql-javascript-documentation-test
02-18
codeql-javascript-documentation-test
codeql-uboot
04-16
您的课程“ CodeQL U-Boot挑战(C / C ++)”的GitHub存储库 欢迎参加本课程! 对于课程的每个步骤,此项目中都会创建一个新的问题,并为您提供说明。 根据这些说明,您可以通过在此存储库中编写和提交CodeQL查询来...
代码分析
12-21
代码分析
代码分析工具Scientific.Toolworks.Understand.5.0.960-Linux-64bit
09-19
代码分析工具Scientific.Toolworks.Understand.5.0.960-Linux-64bit【内含几个序列号,适用月x64 Linux 平台
超强代码分析工具 Understand 4.0.793 Win32 Part1
07-31
2015年7月最新 超过了source insight的代码分析工具, 可以直接出程序流程图,而且能直接导出到visio 包括调用关系等 程序猿的必备首选
代码静态分析工具
07-19
PC-Lint 是GIMPEL SOFTWARE公司开发的C/C++软件代码静态分析工具,它的全称是PC-Lint/FlexeLint for C/C++,PC-Lint 能够在Windows、MS-DOS和OS/2平台上使用,以二进制可执行文件的形式发布,而FlexeLint 运行于其它平台,以源代码的形式发布。PC-lint 在全球拥有广泛的客户群,许多大型的软件开发组织都把PC-Lint 检查作为代码走查的第一道工序。PC-Lint不仅能够对程序进行全局分析,识别没有被适当检验的数组下标,报告未被初始化的变量,警告使用空指针以及冗余的代码,还能够有效地帮你提出许多程序在空间利用、运行效率上的改进点。
codeqlCodeQL:为世界各地的安全研究人员提供支持的库和查询,以及GitHub Advanced Security(代码扫描),LGTM.com和LGTM Enterprise中的代码扫描
02-13
CodeQL 这个开源存储库包含标准的CodeQL库和查询,这些查询和查询为向其全球客户提供的和其他CodeQL产品提供了支持。 有关支持Go分析的查询,库和提取器,请访问。 如何学习CodeQL并运行查询? 关于编写CodeQL的入门,有。 您可以使用LGTM.com上的或扩展的来尝试对当前正在分析的任何开源项目进行查询。 贡献 我们欢迎为我们的标准库和标准检查做出贡献。 您是否有进行新检查的想法,或如何改善现有查询? 然后,请继续并打开请求请求! 不过,在您这样做之前,请花点时间阅读我们的。 您还可以查阅我们的以了解如何设置代码格式以保持一致性和清晰度,如何编写查询元数据以及如何为查询编写查询帮助文档。 执照 该存储库中的代码已获得的。 Visual Studio代码集成 如果使用Visual Studio Code在此存储库中工作,则有一些集成功能可以使开发更加容易。 Visua
代码分析工具 - SonarQube
Janet的博客
04-13 8095
1. 常见代码质量分析工具 1. DeepSource DeepSource是一种静态分析工具,可以智能化测试代码,帮助弄清楚几个关键方面的问题,比如性能、反模式、缺陷风险、安全漏洞、样式和文档问题。 功能: 可使用配置文件生成器进行简单配置。可对每个合并请求(PR)进行连续分析。误报较少。缺点: 目前只有SaaS Web应用程序这个版本,CLI版仍在开发中。2. embold embold使您可以对软件项目进行静态分析,并提供代码质量报告,其中包括检测到的问题的热图,可帮助您直观地查看导致代码
代码分析工具PMD
y41992910的博客
08-06 495
参考 https://blog.csdn.net/dieyong/article/details/46911797
代码分析工具】starTool,代码地图,代码阅读加速器
杉杉的博客
06-09 7244
“starTool可以解析工程中的代码,使用图表的方式展示工程下代码关系,可以帮助代码阅读者更好的一览整个工程代码的关键点和入手点,特别适用于缺少文档支持的开源项目代码阅读” 【日记】 新增UI版,无需指导,直接上手,链接:https://download.csdn.net/download/weixin_39020940/10611966 效果预览:www.englishbox.top ...
codeql vscode
08-03
CodeQL是一种用于静态代码分析的语言和工具。VSCode是一种流行的开源文本编辑器和源代码管理工具CodeQL VSCode是将CodeQL集成到VSCode中的插件或扩展。 CodeQL是由GitHub开发的一种强大的查询语言,它能够帮助...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值