CodeQL代码安全扫描工具安装部署

CodeQL 是开发人员用来自动化安全检查的分析引擎，安全研究人员用来执行变体分析。
在 CodeQL 中，代码被视为数据。安全漏洞、错误和其他错误被建模为可以针对从代码中提取的数据库执行的查询。
您可以运行由 GitHub 研究人员和社区贡献者编写的标准 CodeQL 查询，也可以编写自己的查询以用于自定义分析。查找潜在错误的查询直接在源文件中突出显示结果。

CodeQL 分析包括三个步骤：

通过创建 CodeQL 数据库准备代码
针对数据库运行 CodeQL 查询
解释查询结果

CodeQL支持的语言：

语言	变体	编译器	扩展
C/C++		Clang（和 clang-cl ）扩展（最高 Clang 12.0）GNU 扩展（最高 GCC 11.1）Microsoft 扩展（最高 VS 2019）Arm 编译器 5	.cpp, .c++, .cxx, .hpp, .hh, .h++, .hxx, .c, .cc,.h
C＃	C# 最高 9.0	Microsoft Visual Studio 到 2019 年，.NET 到 4.8，.NET Core 最高 3.1，.NET 5	.sln, .csproj, .cs, .cshtml,.xaml
Golang	上升到 1.16	转到 1.11 或更新版本	.go
Java	Java 7 到 16	javac（OpenJDK 和 Oracle JDK），Java 的 Eclipse 编译器 (ECJ)	.java
JavaScript	ECMAScript 2021 或更低版本	不适用	.js, .jsx, .mjs, .es, .es6, .htm, .html, .xhtm, .xhtml, .vue, .hbs, .ejs, .njk, .json, .yaml, .yml, .raml, .xml [6]
Python	2.7、3.5、3.6、3.7、3.8、3.9	不适用	.py
Ruby	高达 3.0.2	不适用	.rb, .erb, .gemspec,Gemfile
TypeScript	2.6-4.5	标准 TypeScript 编译器	.ts, .tsx

推荐应用方式：

使用1.2官方源代码安装。
结合jenkins在CI中自动安全检测。
利用VSCode和VisualStudio扩展，查看检测并进行更正。

一、安装CodeQL

采用官方源码安装，需要自己打包编译环境，录入Dotnet、NodeJS、Npm等。

本地创建根目录CodeQLHome

mkdir CodeQL
cd CodeQL
mkdir codeql-home
cd codeql-home

1.1 安装CLI

下载地址：https://github.com/github/codeql-cli-binaries/releases

版本：2.7.1

wget https://github.com/github/codeql-cli-binaries/releases/download/v2.7.1/codeql-linux64.zip

1.2 安装查询库

查询库也就是过滤代码的.ql或.qls文件集合

版本:1.29.0

下载地址：https://github.com/github/codeql/tags

其中”lgtm-xxxx"的为仓库，因为源代码管理的非常不好，如果没有找到查询库，直接用源码代替即可。

wget https://github.com/github/codeql/archive/refs/tags/lgtm/v1.29.0.zip

1.3 集成

解压CLI包到CodeQLHome目录下，命名为codeql
```
unzip -o codeql-linux64.zip
```
解压查询库包到CodeQLHome目录下，命名为codeql-repo
```
unzip -o v1.29.0.zip
```

1.4 配置

更改环境变量，指向到CLI主目录，CodeQLHome/codeql

sudo vim /etc/profile

添加如下内容到文档最后

#Path CodeQL
export PATH=$PATH:/home/username/CodeQL/codeql-home/codeql

保存文件并退出编辑器.

重启应用配置

source  /etc/profile

切换到命令行，运行

codeql version

得到正确输出，配置完成

linux配置参见：https://www.jianshu.com/p/4274e679dec6

二、代码检查

2.1 Javascript检查

环境准备：

安装nodejs、安装nestjs(非必须)、安装npm

1）创建存储库

codeql  database create --language=javascript ./projects-result/test3_db -s ./projects-src/testproject

2)更新配置

codeql database upgrade ./projects-result/test3_db

3）执行查询

codeql database analyze ./projects-result/test3_db --format=sarifv2.1.0 --output=./projects-result/test3_db/issues.sarif javascript-security-and-quality.qls

2.2 Dotnet检查

环境准备：

安装dotnetcore 3.1以及dotnet6运行时。

添加 global.json 到源码根目录，该文件能够解决对.NET 5 6的支持

{"sdk": {"version": "5.0.0","rollForward": "latestMajor"}
}

提升文件夹权限，因为编译时会生成文件。

chmod -R 777 /home/username/CodeQL/projects-src
cd /home/username/CodeQL

1）创建存储库

codeql  database create --language=csharp ./projects-result/test4_db -s ./projects-src/testproject2

2)更新配置

codeql database upgrade ./projects-result/test4_db

3）执行查询

codeql database analyze ./projects-result/test4_db --format=sarifv2.1.0 --output=./projects-result/test4_db/issues.sarif csharp-security-and-quality.qls

三、结果查看

地址：https://sarifweb.azurewebsites.net/

四、CI集成

地址：https://docs.github.com/en/code-security/code-scanning/using-codeql-code-scanning-with-your-existing-ci-system

4.1、jenkins集成

插件：https://plugins.jenkins.io/codeql/

推荐jenkins与CodeQL部署在同一台服务器，以便于源码只需要下载一次、同时能够方便的调用CodeQL容器部署的脚本封装，简化操作。

4.2、VSCode集成

搜索并安装扩展codeql
扩展设置

Executable Path->D:/Software/CodeQLHome/codeql/codeql.exe

源码目标库生成

假设本地代码在，D:\Projects\Local\Test\npmRes\abc的TypeScript程序

生成数据库：

codeql database create --language=javascript D:\Projects\Local\CodeQL\RESULT0127\source_db -s D:\Projects\Local\Test\npmRes\abc

VSCode指定源码库

进入VSCode的CodeQL左侧最下方小图标，选择“从文件夹中选择”，并设置为当前可用库。

选择工作区

选择D:/Software/CodeQLHome/codeql-repo文件夹

进入"javascript/ql/src/"->任意*.ql文件右键->CodeQL:Run queries

查看右侧结果