超级会员免费看
CodeQL 是一套Github 在2019 开源且免费的静态扫描代码工具,让你能在产品release 前及早发现潜藏的漏洞并提供相对应改善的方法。
CodeQL 有几项显著的特色 :
- 免费且开源
- 客制化rule/engine
- 可以像查询资料库一样,通过代码编写query 把文件捞出来
CodeQL 常被拿来跟业界主流的Fortify 比较,而我们选择使用CodeQL ,纯粹是两套我们都没用过,而CodeQL支持Action 可以直接导入目前的CI 流程😃
根据其他同事做的评测,他们觉得Fortify支持的语言广泛、在大部分热门语言能检测到的漏洞比较多、FA 相对较少。毕竟Fortify 比CodeQL 老多了!不过CodeQL 免费且开源,我相信随着更多热心人的贡献会让他更加完善。
这篇会介绍如何在Local 上建置并使用CodeQL。
Local 架设CodeQL CLI
Step1. 安装CodeQL CLI
这边选择安装泛用性最高的CLI 版本,如果你有安装Chocolatey,输入choco install codeql就能安装CodeQL CLI,预设路径放在C
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
