github/vscode-codeql-starter
GitHub: github/vscode-codeql-starter
一个为 Visual Studio Code CodeQL 扩展预配置的入门工作区,帮助安全研究人员快速开始多语言的代码安全分析和自定义查询开发。
Stars: 580 | Forks: 271
# vscode-codeql-starter
一个配合 [Visual Studio Code 的 CodeQL 扩展](https://marketplace.visualstudio.com/items?itemName=github.vscode-codeql)使用的入门工作区。有关更多信息,请参阅 [`vscode-codeql` 仓库](https://github.com/github/vscode-codeql/)。
## 说明
1. 安装 [Visual Studio Code](https://code.visualstudio.com)。
2. 安装 [Visual Studio Code 的 CodeQL 扩展](https://marketplace.visualstudio.com/items?itemName=github.vscode-codeql)。
3. 将此仓库克隆到您的计算机。
- 确保包含子模块,可以通过在克隆时使用 `git clone --recursive` 或在克隆后使用 `git submodule update --init --remote` 来实现。
- 定期使用 `git submodule update --remote` 以保持子模块为最新状态。
4. 在 VS Code 中,点击 文件 > 打开工作区。选择您克隆的此仓库中的 `vscode-codeql-starter.code-workspace` 文件。
5. 您将在左侧边栏中看到几个打开的文件夹:
- `ql` 文件夹包含用于 C/C++、C#、Go、Java、JavaScript/Typescript、Python 和 Ruby 的 [开源 CodeQL 标准库](https://github.com/github/codeql/tree/codeql-cli/latest)。它跟踪 https://github.com/github/codeql 中标记为 `codeql-cli/latest` 的分支。您可以从此处运行标准查询并浏览这些库。
- 名为 `codeql-custom-queries-` 的文件夹已准备好供您在使用标准库的同时,开始为每种语言开发您自己的自定义查询。这里有一些示例查询可帮助您入门。
6. 按照 [CodeQL 扩展文档](https://docs.github.com/en/code-security/codeql-for-vs-code/) 了解如何设置该扩展、添加数据库并对其运行查询。祝您使用愉快!
## 在私有仓库中使用 `vscode-codeql-starter`
如果您想使用此项目作为模板,与您的团队成员私下共享您的 CodeQL 查询:
1. 在您想要的组织中创建一个空的私有项目。
2. 在本地克隆此项目:`git clone git@github.com:github/vscode-codeql-starter.git`
3. 将远程仓库添加到本地副本:`git remote add my-org git@github.com:/vscode-codeql-starter.git`
4. 将代码推送到新的远程仓库:`git push my-org main`
GitHub 不允许对公共仓库进行私有分叉。
## 贡献
本项目欢迎贡献。有关详细信息,请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。
## 报告问题
问题和建议应在 [`vscode-codeql` 仓库](https://github.com/github/vscode-codeql/issues/new/choose)中报告。
## 许可证
本项目采用 MIT 许可证[授权](LICENSE.md)。
Visual Studio Code 的 CodeQL 扩展采用 MIT 许可证[授权](https://github.com/github/vscode-codeql/blob/main/extensions/ql-vscode/LICENSE.md)。CodeQL 扩展使用的 CodeQL 版本受 [GitHub CodeQL 条款与条件](https://securitylab.github.com/tools/codeql/license)的约束。
标签:CodeQL, DevSecOps, IDE工作区, IDE插件, IPv6支持, JS文件枚举, QL, UML, Visual Studio Code, VS Code, 上游代理, 代码分析, 代码安全扫描, 凭证管理, 安全专业人员, 安全评估工具, 数据可视化, 日志审计, 服务器监控, 查询语言, 网络安全研究, 自定义查询, 逆向工具, 防御机制, 静态应用安全测试