github/codeql

GitHub: github/codeql

GitHub 官方开源的 CodeQL 查询库,利用数据流分析技术帮助研究人员与开发者进行高精度的静态代码审计与漏洞挖掘。

Stars: 9277 | Forks: 1919

# CodeQL 这个开源仓库包含了标准的 CodeQL 库和查询,它们为 [GitHub Advanced Security](https://github.com/features/security/code) 以及 [GitHub](https://github.com/features/security/) 向全球客户提供的其他应用程序安全产品提供支持。 ## 我该如何学习 CodeQL 并运行查询? 关于 [CodeQL language](https://codeql.github.com/docs/)、使用 [CodeQL extension for Visual Studio Code](https://docs.github.com/en/code-security/codeql-for-vs-code/) 编写 CodeQL 以及使用 [CodeQL CLI](https://docs.github.com/en/code-security/codeql-cli),这里有详尽的文档。 ## 贡献 我们欢迎对我们的标准库和标准检查做出贡献。您是否有关于新检查的想法,或者关于如何改进现有查询的建议?那么请继续并提交一个 Pull Request!不过在此之前,请花点时间阅读我们的 [contributing guidelines](CONTRIBUTING.md)。您也可以参考我们的 [style guides](https://github.com/github/codeql/tree/main/docs),以了解如何格式化您的代码以保持一致性和清晰度,如何编写查询元数据,以及如何为您的查询编写查询帮助文档。 有关贡献 CodeQL 文档的信息,请参阅文档中的“[contributing guide](docs/codeql/CONTRIBUTING.md)”。 ## 许可证 本仓库中的代码由 [GitHub](https://github.com) 根据 [MIT License](LICENSE) 授权。 CodeQL CLI(包括 CodeQL 引擎)托管在 [different repository](https://github.com/github/codeql-cli-binaries) 中,并且是 [licensed separately](https://github.com/github/codeql-cli-binaries/blob/main/LICENSE.md)。如果您想使用 CodeQL CLI 分析闭源代码,您需要单独的商业许可证;请 [contact us](https://github.com/enterprise/contact) 以获取进一步的帮助。 ## Visual Studio Code 集成 如果您使用 Visual Studio Code 在此仓库中工作,有一些集成功能可以让开发更轻松。 ### CodeQL for Visual Studio Code 您可以安装 [CodeQL for Visual Studio Code](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql) 扩展,以获得 QL 语言的语法高亮、IntelliSense 和代码导航功能,以及用于测试 CodeQL 库和查询的单元测试支持。 ### 任务 `.vscode/tasks.json` 文件定义了专门用于在此仓库中工作的自定义任务。要调用这些任务之一,请选择 `Terminal | Run Task...` 菜单选项,然后从下拉菜单中选择所需的任务。您也可以从命令面板调用 `Tasks: Run Task` 命令。
标签:ASN解析, AST, CI/CD集成, CodeQL, CVE挖掘, CVE防护, Debian包, DevSecOps, DNS 0x20, Docker‑Compose, GitHub Advanced Security, GUI应用, JS文件枚举, NCC Group, NoSQL注入, NVD, Office文档漏洞, pip安装, Process Hacker, QL语言, RMI安全, RPM包, SAST, VS Code插件, WebRTC IP泄漏, Web界面, XSS注入, XXE攻击, 上游代理, 二进制文件分析, 云资产清单, 代码安全, 代码审计, 函数图谱, 可视化调试, 安全专业人员, 安全仪表盘, 安全加固, 安全查询, 安全漏洞, 安全评估工具, 带宽管理, 开源安全, 攻击框架, 数据可视化, 数据流分析, 文档安全, 日志审计, 污点分析, 流量可视化, 漏洞枚举, 漏洞检测, 漏洞管理平台, 用户界面自定义, 盲注攻击, 网络渗透, 自动化安全测试, 软件开发安全, 逆向工具, 逆向工程, 错误基检测, 防御机制, 防御机制, 防御机制, 防御机制, 静态代码分析, 项目发现工具