解析 boolean 查詢參數 (REST) 時出現代碼分析警告

[英]Code analysis warning while parsing boolean query param (REST)

Semmle 發出此警告[SM01513] User-controlled bypass of security check 。 這表示我可能正在使用用戶控制的數據來比較用戶輸入。 我覺得使用window.location.search讀取的查詢參數被檢查是否真實，這與任何安全漏洞都不矛盾。 有 ...

如何使用 CodeQL 檢查 Java 注釋是否具有特定屬性？

[英]How to check if a Java annotation has a specific property using CodeQL?

假設我們有以下代碼：public class Demo { @ABC(name = "abc") private String field1; @ABC private String field2; } @interface ABC { String n ...

無法從不同的文件夾添加 CodeQL 庫：“無法解析模塊<xxx> "</xxx>

[英]Failed to add CodeQL library from a differnet folder: "Could not resolve module <xxx>"

我有以下文件夾結構： 這是Config.qll的開頭： 我在四行有一個錯誤： import MemMangementLibraries.FFmpegMemory ： 無法解析模塊 MemMangementLibraries.FFmpegMemory 我不明白為什么。 我使用庫名稱后的文件夾名稱進行 ...

如何創建對 CodeQL 的導入

[英]How to create import to CodeQL

我想為我的 CodeQL 查詢創建一個導入。 我希望這個導入將被命名為Utils並且我將在其中創建一個名為isNumber的謂詞。 我怎樣才能創建這樣的導入？ 我希望我的代碼看起來像這樣： 我不知道如何創建Utils導入，它寫道： 無法解析模塊 Utils 我試圖在我的代碼查詢 ( code.ql ...

實現 CI 測試以檢查函數參數是否有效的方法？

[英]Way to implement CI test to check if function argument is valid?

假設我有一個 python 函數和字典，如下所示： 當我將我的代碼推送到 GitHub（大概是某種持續集成）時，有沒有辦法檢查foo所有調用是否僅使用d一個鍵作為input參數，以及是否存在帶有無效參數的調用，標記它或發出警報？ 例如： 我知道如何在運行時引發異常或ValueError ， ...

codeql CLI lgtm.yml：如何自定義 javascript 提取？

[英]codeql CLI lgtm.yml: how to customize javascript extraction?

在使用 LGTM.com 構建數據庫時，我可以使用 lgtm.yml 文件自定義 javascript 提取器，但是如何將這些自定義提供給 codeql CLI？ 具體來說，我想包含一個提取器默認排除的目錄（node_modules）。 這是我的 lgtm.yml 文件： ...

如何在部分 c 源代碼上使用 CodeQL？

[英]How can i use CodeQL on partial c source code?

我有一個項目的部分 c 源代碼，因此我無法構建。 有誰知道是否可以在該項目上運行 codeql？ 通常，要創建數據庫，codeql cli 需要指定構建項目的命令，我無法繞過它，即使我會說能夠構建項目看起來並不重要。 不過我可能是錯的，歡迎任何見解。 ...

GitHub 的 / Semmle 的 CodeQL 查詢執行器可以自托管嗎

[英]Can GitHub's / Semmle's CodeQL Query Executor be Self-hosted

我想讓我的服務的用戶能夠編寫和執行CodeQL查詢。 我不想將他們的執行任務轉移到 GitHub/Semmle 的服務器上。 目前還不清楚這是否可行，或者我是否會遇到許可問題。 在安全實驗室中，它說“CodeQL 可免費用於研究和開源”。 我確實希望用戶編寫的查詢是開源的。 但是，我不希望它們的執行 ...

在 Semmle QL 中為帶參數的代數數據類型寫入 toString()

[英]Writing toString() for an algebraic data type with parameters in Semmle QL

在閱讀了 QL 中對代數數據類型的支持后，我試圖在lgtm 控制台中定義一個List類型： 這似乎有效。 但是后來我嘗試定義輔助類以便有一個toString()謂詞： 在這里我被難住了。 我不知道如何從Cons引用構造函數參數x和xs 。 我試過this.x和this.xs ，但它似乎不起作 ...

Semmle QL：TaintTracking hasFlow() 污染其 Arguments 的源的問題

[英]Semmle QL: TaintTracking hasFlow() Problem with Sources that taint their Arguments

我想使用通過用戶輸入污染其 arguments 的函數進行 TaintTracking。 例子： Semmle 應該能夠通過如下所示的查詢來發現這一點（僅以 fgets-&gt;strlen 為例）。 我從 SecurityOptions 借用代碼： 然而，它看起來不像在工作。 但是，當我只查詢c ...

正在使用不識別C int類型的靜態代碼分析器

[英]Static code analyzer not recognizing C int-types are being used

我在工作的大型嵌入式系統項目（C / C ++）上使用靜態代碼分析器。 目前，所有模塊都有以下幾種違規行為： 應使用指示大小和簽名的Typedef代替基本類型。 但是，我們定義了一個頭文件（footypes.h），其中包含以下內容： 然后，模塊中的實際代碼如下所示： ...