geunyeong's blog

Abstract 본 글은 GeekMasher라는 분이 작성한 CodeQL 소개글에 나온 Javascript CodeQL 스캔 방법을 따라한 게시글이다. Javascript는 Non-Compiled 언어이기 때문에 데이터베이스 구축이 쉽다(아직 C/C++ CodeQL 데이터베이스 구축을 성공하지 못했다...). How to use JS CodeQL example query 현재 시스템에 세팅된 CodeQL 설정은 아래와 같다. Working Dir: ~\Documents\CodeQL CodeQL CLI: ~\Documents\CodeQL\codeql-cli CodeQL Lib: ~\Documents\CodeQL\codeql-repo (https://github.com/github/codeql) Create..

Abstract CodeQL은 LGTM이 개발한 코드 스캐닝 도구다. 소스코드를 대상으로 데이터베이스를 구축하고 해당 데이터베이스에 쿼리하는 형태로 구성되며, 변수나 함수, 클래스 선언부는 물론 변수에 할당된 값의 흐름까지도 추적할 수 있다. CodeQL은 github계정의 codeql 레포지토리에 공개되어있다. https://github.com/github/codeql Hello, CodeQL CodeQL을 개발한 LGTM 사이트에서 CodeQL 쿼리를 직접 실행할 수 있는 웹 쿼리 콘솔을 제공한다. 깃허브에 업로드한 자신의 프로젝트나 공개된 다른 사람의 깃허브 프로젝트를 대상으로 CodeQL을 실행할 수 있다. 프로젝트 하나 뿐만 아니라 여러 개의 프로젝트를 대상으로도 가능하다. 본 글에서는 깃허브에..