什么是 CodeQL
CodeQL 是一种静态分析工具,可用于发现软件中的安全漏洞和代码质量问题。它由 GitHub 开发,并作为开源项目提供。CodeQL 使用一种特殊的查询语言,可以检测源代码中的缺陷和漏洞。
CodeQL 操作
源代码编译
mvn -f pom.xml dependency:copy-dependencie
mvn install
codeql database create ./test --language=java --command="mvn clean install --file pom.xml -Dmaven.test.skip=true
codeql database analyze --ram=8000 --threads=4 test /Users/tom/Downloads/codeql/java/ql/src/Security --format=csv --output=Security.csv
codeql database analyze --ram=8000 --threads=4 test /Users/tom/Downloads/codeql/java/ql/src/experimental --format=csv --output=experimental.csv
- https://codeql.github.com/docs/codeql-cli/
- https://learn.microsoft.com/zh-cn/training/modules/code-scanning-with-github-codeql/
- https://github.com/safe6Sec/CodeqlNote
- https://github.com/ASTTeam/CodeQL
- https://vycc.cn/biancheng/2194526/
- https://www.cnblogs.com/HAN91/p/16500891.html
- https://www.cnblogs.com/macter/p/16213132.html