Day 27 - 例子 - CodeQL整合到CI

16th鐵人賽 github actions codeql code scan devops

neverend327

2024-10-05 12:44:09

255 瀏覽

分享至

這個 pack 是什麼：包含query、library還是module
包含哪些檔案：這個 pack 裡有哪些query、library檔案、查詢套件等
如何編譯： CodeQL 要如何編譯這些查詢(這些查詢是要針對哪種語言進行)
相依性：這個 pack 需要哪些其他的 QL pack 或外部套件

import javascript

from File f
select f, "Hello, world!"

先不管內容是甚麼，一樣打開選CodeQL: Run Query on Selected Database，或者點下方任一張圖黃圈處也可以在本地執行檢查

之後就會看到檢查的結果囉

CodeQL query的組成

.ql檔案中只能有一個query，而一個query的結構跟SQL相當類似，由變數、select、where組成

引入library

/* 引入JavaScript、TypeScript的library */
import javascript

宣告變數

定義要用於query的變數，格式為from 型別變數名
```
from Expr e
```

條件

格式為where 條件、where 條件1 and 條件2

/* e.isPure()`檢查變數e沒有side effect */
/* e.getParent()`檢查變數e的父層是否為表達式 */
where e.isPure() and e.getParent() instanceof ExprStmt

另外需注意，如果條件是涉及值的判斷的，只能使用雙引號

where f.getName() = "foo"

定義檢查的項目、返回的message

格式為select 檢查的目標, "返回的訊息"
```
select e, "This expression has no effect."
```

小結

import javascript

from Expr e
where e.isPure() and
  e.getParent() instanceof ExprStmt
select e, "This expression has no effect."

整個合起來看的話整個query代表檢查所有表達式，如果發現沒有side effect且父層為表達式的表達式，就返回"This expression has no effect."

CodeQL語法

這邊只抽幾個出來大略介紹，更多內容可以看Data flow cheat sheet for JavaScript

.getName()
(多個使用對象)取得變數、function、class、屬性名

// 取得multiplier、personData
const multiplier = (a, b) => a * b;
const personData = {
  name: 'Jasmine',
  email: 'a123@gmail.com'
}

.getACall()
取得某個function被呼叫的地方

// 找multiplier、Object.keys()被呼叫的地方
multiplier(2, 3);
Object.keys(personData);

.getArgument(index)
取得傳給function的argument

// 視傳入的index取得2或3
multiplier(2, 3);

.getParameter(index)
取得傳給function的parameter

// 視傳入的index取得a或b
const multiplier = (a, b) => a * b;

.getRhs()
(多個使用對象)取得賦值表達式右側的內容

// 會取得100
tempNum = 100;
// 會取得365
constantNumber = 365;

.getAPropertyRead(propName)
取得讀取物件屬性值的地方
```
console.log(personData.userName);
```
.getAPropertyWrite(propName)
取得某物件屬性被賦予值的地方
```
personData.userName = 'Tempura';
```

.getAPropertySource(prop)
取得賦予給物件屬性的值

// 尋找賦值為"Tempura"的地方
personData.userName = 'Tempura';

.hasFlowPath(source, sink)、
檢查兩個變數或表達式之間是否存在data flow
```
// 以下兩個變數存在data flow
tempNum = constantNumber;
```
.hasFlow(source, sink)
檢查兩個表達式之間是否存在data flow
```
// 以下兩個變數存在data flow
let days = constantNumber;
```
.getAMethodCall(methodName)
和.getACall()類似，但只取得某個物件、class中的方法被呼叫的地方
```
Object.keys(bar);
[].push(1);
```

撰寫workflow

name: Try CodeQL

on:
  push:
    branches:
      - master

# 如果Workflow permissions設為"Read repository contents and packages permissions"代表是restricted模式，
# restricted模式下GITHUB_TOKEN就只會有content和package的read權限，此時就需要在workflow內設定permission
# 關於restriced、permissive模式有的預設權限看https://docs.github.com/en/actions/security-for-github-actions/security-guides/automatic-token-authentication#permissions-for-the-github_token
permissions:
  actions: read
  security-events: write

jobs:
  give-a-try:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout repository
        uses: actions/checkout@v4

      # Initializes CodeQL tools and creates a codebase for analysis.
      - name: Initialize CodeQL
        uses: github/codeql-action/init@v3
        with:
          languages: JavaScript
          # 如果是需要編譯的語言則要在定義build-mode，或自行寫build指令，JavaScript、TypeScript這兩者皆不需要
          # build-mode: autobuild

      - name: Perform CodeQL Analysis
        uses: github/codeql-action/analyze@v3
        with:
          category: "/language:JavaScript"
          output: check-results
          upload: failure-only

完成後每次push就會到master就會做檢查