codeql agent docker DOWNLOAD - codeql agent docker Quellcode Download

codeql agent docker

Andere Kategorien

v2.20.0

Herunterladen

Codeql Agent für Docker

CodeQL Agent ist ein Projekt, das zur Automatisierung der Verwendung von CODEQL zielt. Das Projekt hilft bei der Erstellung von Datenbank und Ausführung der CODEQL -Analyse. CodeQL Agent ist ein Docker -Bild.

CODEQL AGENT FÜR DECKER ist auch das Basisbild von CODEQL Agent für Visual Studio Code - eine Erweiterung für Visual Studio -Code, die die CODEQL -Nutzung vereinfacht und das Code -Scan automatisch ausführt.

Das codeQL-Agent-Bild wird auf Docker Hub unter dem Namen doublevkay/codeql-agent veröffentlicht. Sie können es verwenden, ohne lokal zu bauen.

Inhalt:

Wofür ist das?
Erste Schritte
Beispiele Verwendung
Unterstützte Optionen
Bauen
Wie funktioniert es?
Unterstützung
Beitragen
Mitwirkende
Versionshinweise
Lizenz

Wofür ist das?

Der CodeQL -Agent für Docker bietet diese Schlüsselfunktionen:

Sprache automatisch erkennen.
Erstellen von CODEQL -Datenbank.
Ausführung der CODEQL -Datenbankanalyse.
Auto synchronisieren Sie die neueste Version von CODEQL CLI und CODEQL -Bibliothek.

Erste Schritte

Binden Sie die Quelle, den Ergebnisordner und führen Sie codeql-agent Bild mit dem folgenden Docker-Befehl aus.

 docker run --rm --name codeql-agent-docker 
  -v "$PWD:/opt/src" 
  -v "$PWD/codeql-agent-results:/opt/results" 
  doublevkay/codeql-agent

Sie können auch weitere Optionen zum Ausführen von CodesQL -Agenten angeben. Weitere Informationen finden Sie unter unterstützten Optionen.

Unterstützte Optionen

Sie können Umgebungsvariablen festlegen, um die folgenden unterstützten Optionen zu verwenden:

Variable	Beschreibung
`LANGUAGE`	Wert `<language>` . Stellen Sie die Projektsprache fest, um Datenbank zu erstellen oder SAST auszuführen. Die `<language>` muss sein: `go` , `java` , `cpp` , `csharp` , `python` , `javascript` , `ruby` .
`USERID`	Wert `<id>` . Stellen Sie den Eigentümer des Ergebnisordners auf `<id>` ein.
`GROUPID`	Wert `<group_id>` . Stellen Sie den Gruppenbesitzer des Ergebnisordners auf `<group_id>` fest.
`THREADS`	Wert `<number_of_threads>` . Verwenden Sie so viele Threads, um Datenbank zu erstellen und Abfragen zu bewerten. Standardeinstellungen zu 1. Sie können 0 übergeben, um einen Thread pro Kern auf der Maschine zu verwenden.
`OVERWRITE_FLAG`	Wert `--overwrite` . Aktivieren/deaktivieren Sie die Datenbank überschreiben, wenn der Datenbankpfad existiert und kein leeres Verzeichnis. Diese Flagge ist nützlich, um die Datenbank gewaltsam wieder aufzubauen.
`QS`	Wert `<queries-suite>` . Geben Sie eine Liste von Abfragen an, um Ihre Datenbank auszuführen. Der Standardwert ist `<language>-security-extended.qls` . Weitere Informationen finden Sie unter Analyse von Datenbanken mit der CODEQL CLI.
`SAVE_CACHE_FLAG`	Wert `--save-cache` . Sparen Sie aggressiv Zwischenergebnisse im Festplattencache. Dies kann nachfolgende Fragen beschleunigen, wenn sie ähnlich sind. Beachten Sie, dass die Verwendung dieser Option die Disk -Nutzung und die anfängliche Bewertungszeit erheblich erhöht.
`ACTION`	`create-database-only` . Erstellen von CodesQL -Datenbank nur ohne CODEQL -Analyse auszuführen.
`COMMAND`	Wert `<command>` . Die Variable, die verwendet wird, wenn Sie eine CODEQL -Datenbank für eine oder mehrere kompilierte Sprachen erstellen, lassen Sie sich aus, wenn die einzigen angeforderten Sprachen Python und JavaScript sind. Dies gibt die Build -Befehle an, die erforderlich sind, um den Compiler aufzurufen. Wenn Sie diese Variable nicht festlegen, versucht CODEQL, das Build-System automatisch mit einem integrierten Autobuilder zu erkennen.

Haftungsausschluss: Der CodeQL -Agent leitet diese Optionen direkt an die Befehlsargumente weiter, während der Container ausgeführt wird. Bitte nehmen Sie es als Ihre Sicherheitsverantwortung.

Beispiele Verwendung

Basic -Code -Scannen.

docker run --rm --name codeql-agent-docker 
  -v " $PWD :/opt/src " 
  -v " $PWD /codeql-agent-results:/opt/results " 
  doublevkay/codeql-agent

Code -Scannen mit maximalen Threads verfügbar.

docker run --rm --name codeql-agent-docker 
  -v " $PWD :/opt/src " 
  -v " $PWD /codeql-agent-results:/opt/results " 
  -e " THREADS=0 " 
  doublevkay/codeql-agent

Nur Datenbank erstellen.

docker run --rm --name codeql-agent-docker 
  -v " $PWD :/opt/src " 
  -v " $PWD /codeql-agent-results:/opt/results " 
  -e " ACTION=create-database-only " 
  doublevkay/codeql-agent

Geben Sie die Queries Suite für Java Source an.

docker run --rm --name codeql-agent-docker 
  -v " $PWD :/opt/src " 
  -v " $PWD /codeql-agent-results:/opt/results " 
  -e " LANGUAGE=java " 
  -e " QS=java-security-and-quality.qls " 
  doublevkay/codeql-agent

Wechseln Sie den Besitzer des Ergebnisordners.

Da der codesql Agent das Skript als Root in Docker -Containern ausführt. Vielleicht müssen Sie den Besitzer des Ergebnisordners in Ihren eigenen ändern.

docker run --rm --name codeql-agent-docker 
  -v " $PWD :/opt/src " 
  -v " $PWD /codeql-agent-results:/opt/results " 
  -e " USERID= $( id -u ${USER} ) " -e " GROUPID= $( id -g ${USER} ) 
  doublevkay/codeql-agent

Geben Sie die Java -Version und den Befehl "busing Database" an

Standardmäßig verwenden wir JDK 11 und Maven 3.6.3 für das codeQL -Agent -Image. Wir können die Versionen von Java und Maven ändern, indem wir ein Volumen montieren und die Umgebungsvariablen java_home und maven_home im CODEQL Agent Container festlegen. Zum Beispiel:

Erstellen Sie eine Dockerfile (mit dem Namen Dockerfile-Java) für die spezifischen Versionen von Java und Maven und legen Sie sie in das Verzeichnis, das für die spätere Montage verwendet wird:
```
 FROM --platform=amd64 maven:3-jdk-8-slim

 RUN mkdir -p /opt/jdk/ /opt/maven/

 RUN cp -r $JAVA_HOME/* /opt/jdk/

 RUN cp -r $MAVEN_HOME/* /opt/maven/

 CMD [ "echo" ]
```

Bauen und führen Sie den Docker -Container aus und steigen Sie die JDK- und Maven -Verzeichnisse in die jeweiligen Bände an:

 docker buildx build -t codeql-java -f Dockerfile-java .
 docker run --rm  -v " jdkvol:/opt/jdk " -v " mavenvol:/opt/maven " codeql-java

Führen Sie schließlich Codesql-Agent-Container mit montierten Volumina aus und setzen

docker run --rm --name codeql-agent-docker 
  -v " $PWD :/opt/src " 
  -v " $PWD /codeql-agent-results:/opt/results " 
  -v " jdkvol:/opt/jdk " 
  -v " mavenvol:/opt/maven " 
  -e " LANGUAGE=java " 
  -e " JAVA_HOME=/opt/jdk " 
  -e " MAVEN_HOME=/opt/maven " 
  -e " COMMAND=mvn clean install " 
  doublevkay/codeql-agent

Bauen

Sie können das CodesQL -Agent -Image auf Docker Hub verwenden oder es lokal anpassen und erstellen.

 # Build codeql-agent docker image locally 
cd codeql-agent
docker build -t codeql-agent .

Wie funktioniert es?

CodeQL Agent ist ein Docker -Bild. Die folgenden Schritte werden durchgeführt, um die Ziele der Automatisierung der Verwendung von CODEQL zu erreichen.

Umgebung einrichten

In diesem Schritt bereitet das Bild die Umgebung für die Ausführung von CodesQL vor. Es umfasst: Verwenden von Ubuntu -Basisbild; Herunterladen und Installieren von CODEQL -Bundle (das die CodesQL -CLI und die vorkompilierten Bibliotheksabfragen enthält, um die CODEQL -Ausführungszeit zu verkürzen); Installation der erforderlichen Software wie java , maven , nodejs , typescript , ... um eine CodeQL -Datenbank erfolgreich zu erstellen.

Sprache erkennen

CODEQL Agent verwendet GitHub/Linguist, um die Quellcodesprache zu erkennen.

Datenbank erstellen

CODEQL AGENT führt den Befehl codeQL erstellen Datenbank aus.

codeql database create --threads= $THREADS --language= $LANGUAGE $COMMAND $DB -s $SRC $OVERWRITE_FLAG

Angabe von Abfragemitchen

Die Analyse von Datenbanken erfordert die Angabe einer Abfrage -Suite. Nach den Zielen der Anwendungsziele statischer Anwendungssicherheitstests (SAST) verwendet der CodeQL-Agent <language>-security-extended.qls als Standard-Query-Suite.

Datenbank analysieren

CODEQL Agent führt den Befehl codeQL Database -Analyse aus.

codeql database analyze --format= $FORMAT --threads= $THREADS $SAVE_CACHE_FLAG --output= $OUTPUT /issues. $FORMAT $DB $QS

Konvertieren von Ergebnisformat

Der CodeQL -Agent konvertiert das CODEQL -Ergebnis vom SARIF -Format in Sicherheitsberichtschemas (bereitgestellt von GitLab). Dieser Schritt erfolgt durch die Zuordnung der Felder zweier Formate. Die Details der Implementierung finden Sie im Sarif2Sast -Skript. Sie können dieses Skript unabhängig als Problemumgehung verwenden, um das GitLab -Problem 118496 zu lösen.

Credits

Dieses Repo basiert auf Microsoft/Codeql-Container und J3ssie/Codeql-Docker mit weiteren Funktionsoptionen. Speziell:

Verbesserung der Umgebung, um die Zuverlässigkeit zu erhöhen.
Die Sprache automatisch erkennen.
Unterstützen Sie hilfreiche CODEQL -Optionen.
Unterstützen Sie Java -Sprache.

Unterstützung

Sie können ein Problem im Github Repo eröffnen

Beitragen

Beiträge sind immer willkommen! Erstellen Sie einfach eine Pull -Anfrage oder kontaktieren Sie mich

Mitwirkende

Versionshinweise

Siehe Details

Lizenz

CodeQL Agent verwendet Codesql CLI als Core Engine. Bitte befolgen Sie die Github -Codel -Geschäftsbedingungen und nehmen Sie sie als eigene Verantwortung an.

Expandieren

Zusätzliche Informationen