问题标签 [codeql]

请参阅https://gist.github.com/mwest67/a715df2fec879563255c0d3c2ad25449。我有查询跟踪数据，一直到 GetType 调用（即接收器）中使用的 typeName 变量。但是，它没有获取到 GetType 调用的完整流程（如果我将其转换回 PathGraph 查询）

我被卡住了，因为据我所知，我也可能以一种不太有效的方式做一些事情

我一直在将 CodeQL 用于一些私人项目，现在我想将它用于工作中的项目，不幸的是我们不能在那里使用 github。

我们如何运行符合 GitHub CodeQL 条款和条件的 CodeQL？支付 GitHub Enterprise 费用并像我在私人项目中那样使用 CodeQL 是否足够？

谢谢！

我想为我的 CodeQL 查询创建一个导入。
我希望这个导入将被命名Utils，并且我将在其中创建一个名为isNumber.

我怎样才能创建这样的导入？

我希望我的代码看起来像这样：

我不知道如何创建Utils导入，它写道：

无法解析模块 Utils

我试图Utils在我的代码查询 ( code.ql) 附近创建一个名为的文件夹，但它不起作用。

我有以下文件夹结构：

这是开头Config.qll：

我在四行有一个错误import MemMangementLibraries.FFmpegMemory：：

无法解析模块 MemMangementLibraries.FFmpegMemory

我不明白为什么。我使用库名称后的文件夹名称进行了导入：

知道可能是什么问题吗？
如果我将库移动FFmpegMemory.qll到文件夹下Dangerous_Memcopy并将第四行更改Config.qll为import FFmpegMemory，它将接受它。

它似乎无法识别MemMangementLibraries导入中使用的文件夹。

我已经通过网站将 CodeQL 集成到我的 github 项目中。它工作，它分析和生成 SARIF 文件。然后它说结果已成功上传：

在哪里？我在哪里可以找到这些结果并阅读它们？CodeQL 如何指示发现了问题？我的 .yaml 包含：

我是 CodeQL 的新手，但仍在努力解决它。在半频率的基础上，我发现自己想要一种支持指定“后备值”的语言结构来实现以下逻辑：

CodeQL 是否提供了一种以更优雅的方式重新表述的方法？我一遍又一遍地浏览文档以获取类似以下内容，但无济于事：

我觉得我的小命令式程序员的大脑一定错过了一直盯着我的脸的东西。

创建多个 CodeQL 数据库后，我注意到很多时候一些源文件不在数据库中。因此，我无法在完整的源代码上运行我的查询。

我认为这可能是编译一个生成多个可执行文件的项目的结果，但这发生在源代码上，结果也是一个可执行文件。

有谁知道为什么会发生这种情况？

我用来创建数据库的命令是codeql database create *db_name* -l=cpp -c "build.sh"，其中“build.sh”是一个包含多个 CC 命令的文件。

我正在尝试获取一个返回 DataFlow::Node 对象的查询，这些对象最终被用作调用 jQuery 美元函数的参数。

这是我到目前为止所拥有的：

代码库：

向我返回对{'href': foo}的引用的查询：

有没有办法从{'href': foo}获取对foo的引用？

我想交叉检查 GitHub 的 CodeQL 服务和OWASP 十大 Web 应用程序安全风险所涵盖的漏洞，以便我知道差距在哪里。

我找不到 CodeQL 涵盖的漏洞列表。GitHub 会发布规则列表吗？

假设我们有以下代码：

如何编写一个查询来选择所有带有注释@ABC但不具有该name属性的字段？

对象中有getValue(string)方法Annotation，但由于它是默认值，所以getValue("name")为注释返回空字符串。field2但是我想知道作者提到的如何检查该属性是否存在。