codeql

CodeQL 技能為安全工程師與開發人員提供了一套先進的靜態分析工具組，用於執行全面的漏洞研究。透過利用 CodeQL 強大的跨程序資料流與汙染追蹤引擎，此技能有助於識別複雜的安全缺陷，這些缺陷通常是簡單模式比對難以察覺的。它自動化了整個分析生命週期，從建立特定語言的 CodeQL 資料庫到執行自訂查詢套件，並處理 SARIF 輸出以產生可執行的報告。此技能專為高精確度的安全性審計而設計，在這種審計中，理解資料從不受信任來源移動到敏感接收端的過程至關重要。它作為本地分析的編排者，管理資料庫建立、針對自訂框架的資料擴充建模以及套件選擇，以確保安全評估的一致性與可重複性。它特別適用於審核 Python、JavaScript/TypeScript、Go、Java/Kotlin、C/C++、C#、Ruby 與 Swift 的大型程式碼庫。

• 為編譯與解釋型語言執行自動化建置與資料庫產生。

• 支援自訂掃描模式：「run all」用於透過實驗性套件進行詳盡掃描，以及「important only」用於聚焦高精確度發現。

• 管理資料擴充模型，以精確映射專案特定的框架、請求解析器與自訂封裝。

• 整合品質評估閘門以確保資料庫完整性，包括檔案計數驗證與基準程式碼行數指標。

• 編排 SARIF (靜態分析結果交換格式) 處理，以便與漏洞管理工作流程無縫整合。

• 使用自訂的 .qls 套件檔案以防止靜態查詢遺漏，並確保應用所有相關的安全規則。

• 支援的目標語言包含 Python、JavaScript/TypeScript、Go、Java/Kotlin、C/C++、C#、Ruby 與 Swift。

• 需要安裝 CodeQL CLI；請遵循工作區說明以設定相依套件。

• 輸出結果管理於結構化目錄中，預設為 static_analysis_codeql_N，便於追蹤與稽核。

• 在依賴掃描結果前，請務必對產生的資料庫執行品質檢查；若結果為零，應調查是否為資料庫萃取問題或套件設定錯誤所致。

• macOS Apple Silicon 使用者應針對 exit code 137 使用提供的解決方案，例如 Homebrew arm64 工具或基於 Rosetta 的建置。