我正在尝试在 Chromium 上与其他一些开源软件一起运行 codeql,我想知道是否可以从完整的源代码编译单个文件,因为我的机器需要很长时间才能编译如此庞大的代码库。 例如,是否可以只编译media/filters/ffmpeg_video_decoder.cc文件? ...
我正在尝试在 Chromium 上与其他一些开源软件一起运行 codeql,我想知道是否可以从完整的源代码编译单个文件,因为我的机器需要很长时间才能编译如此庞大的代码库。 例如,是否可以只编译media/filters/ffmpeg_video_decoder.cc文件? ...
我想忽略 codeql 结果中的测试文件。 但此查询包含测试文件。 忽略结果中的测试文件 ...
. 这是我发现的最接近的但是它返回正则表达式的一部分并且它不返回所有正则表达式即使没有codeql也有任何方法可以存档 ...
Semmle 发出此警告[SM01513] User-controlled bypass of security check 。 这表示我可能正在使用用户控制的数据来比较用户输入。 我觉得使用window.location.search读取的查询参数被检查是否真实,这与任何安全漏洞都不矛盾。 有 ...
我发出命令: codeql 数据库创建./databases/Pixi --language="javascript" --source-root="Pixi" 并得到以下错误: 在 /sda8/codeql-2.11.1/program/databases/Pixi 初始化数据库。 发生致命错误 ...
随着 LGTM.com 被关闭,我希望在 Github 中启用代码分析,以运行与 lgtm.com 相同的分析。 乍一看 Github 的工作流程,在我看来它只是运行与安全相关的扫描规则的子集。 我发现 lgtm 的默认规则非常有用(那些警告未使用的导入等)如何配置 Github 的代码扫描以运行与 ...
如何获取实现来自依赖项的方法调用列表 例如,依赖组 id:“com.google.protobuf” ...
我找不到将 GIT_COMMIT 变量传递给詹金斯管道的方法。 有两个步骤,第一步检查 repo,第二步创建 codeql 报告。 要发布报告,我需要 repo 中最近的 ccommit id 并将其传递给 shell 命令。 ...
我有这个简单的测试类,我试图在其中模仿路径问题。 Message1作为源, Console.WriteLine(Message1)作为接收器。 在这里,我使用上面的查询对上面的 Test 类进行了简单的污点跟踪分析,对于 const field private const string Me ...
我是 CodeQL 的新手,因此如果我的问题很明显,我深表歉意,但是,我一直无法理解一些简单的概念。 首先,我可以使用 github 操作使用配置如下的 yml 文件轻松配置公共存储库:on: push: branches: [ master ] pull_request: ...
我想用codeql静态检查c c++代码的漏洞,比如:double free, array out of bounds, resource Allocates,releases unpaired等,哪里有ql脚本可以用。 这个 SDK: https://github.com/github/codeq ...
我刚刚开始使用 CodeQL,并且已经成功扫描了 Python 个项目。 现在,我开始扫描 Java 个项目,我很难扫描预编译的项目。 从我收集到的信息来看,CodeQL CLI 似乎包括一个用于 Java 代码的自动构建器,并将为我构建项目。 我正在尝试扫描已从 Maven 中央存储库编译的项目。 ...
在 github 上删除我的代码后,我收到此安全错误:DOM 文本被重新解释为 HTML,而不会转义元字符。CodeQL 对于这部分代码: var url = window.location.href; var title = $('title').text(); $( docum ...
我无法成功启动数据库分析命令。 我试着像这样启动它: 我收到此错误: 与 QL 库 ../codeql-home/codeql-repo/cpp/ql/examples/snippets/function_call.ql 使用不兼容。 数据库对于查询使用的 QL 库来说可能太新了; 尝试 ...
假设我们有以下代码:public class Demo { @ABC(name = "abc") private String field1; @ABC private String field2; } @interface ABC { String n ...
我想交叉检查 GitHub 的 CodeQL 服务和OWASP 十大应用程序安全风险Web 涵盖的漏洞,以便我知道差距在哪里。 我找不到 CodeQL 涵盖的漏洞列表。 GitHub是否发布规则列表? ...
我是 CodeQL 的新手,并且仍在努力思考它。 在半频繁的基础上,我发现自己想要一种支持指定“回退值”的语言结构,以实现以下逻辑: CodeQL 是否提供了一种以更优雅的方式重新表述的方法? 我一遍又一遍地浏览文档以查找类似以下内容,但无济于事: 我觉得我这个命令式的小程序员的大脑一定是漏掉了 ...
我已经通过网站在我的 github 项目中集成了 CodeQL。 它工作,它分析和生成 SARIF 文件。 然后它说结果已成功上传: 在哪里? 我在哪里可以找到这些结果并阅读它们? CodeQL 如何指示发现了问题? My.yaml 包含: ...
我有以下文件夹结构: 这是Config.qll的开头: 我在四行有一个错误: import MemMangementLibraries.FFmpegMemory : 无法解析模块 MemMangementLibraries.FFmpegMemory 我不明白为什么。 我使用库名称后的文件夹名称进行 ...
我想为我的 CodeQL 查询创建一个导入。 我希望这个导入将被命名为Utils并且我将在其中创建一个名为isNumber的谓词。 我怎样才能创建这样的导入? 我希望我的代码看起来像这样: 我不知道如何创建Utils导入,它写道: 无法解析模块 Utils 我试图在我的代码查询 ( code.ql ...