Query your codebase using CodeQL

Mit der Abfragesprache CodeQL lässt sich eine Codebasis genauso abfragen, als handele es sich um Daten. Softwareingenieure und -architekten können CodeQL daher nutzen, um Sicherheitsschwachstellen zu finden, indem sie entweder CodeQL direkt oder deren Integration mit GitHub nutzen. Über die bereits eingebauten Abfragen hinaus können Entwickler mit CodeQL auch benutzerdefinierte Abfragen für ihre (polyglotte) Codebasis schreiben und sie mit dem Rest des Teams teilen.

CodeQL wird vom GitHub Security Lab entwickelt und ist derzeit in der Lage, Code in den Programmiersprachen C/C++, C#, Java, JavaScript und Python abzufragen.

In dem Vortrag werden wir die grundlegende Verwendung von CodeQL, einige seiner fortgeschrittenen Funktionen wie Taint Tracking sowie die reichhaltige Abfragesprache kennenlernen und erfahren, wie Sie Ihre eigene Abfrage schreiben können.

Vorkenntnisse

Basiskenntnisse zu Softwareentwicklung, GitHub und statischer Codeanalyse.

Lernziele

Zuhörende erfahren, wie sich CodeQL als Codeanalyse-Tool nutzen lässt, wie es aufgebaut ist und wie man es um neue Abfragen erweitern kann.

Speaker

 

Benjamin Muskalla
Benjamin Muskalla ist seiner Leidenschaft gefolgt, Tools zur Verbesserung der Entwicklerproduktivität zu entwickeln. Er war aktiver Committer der IDE Eclipse, baute eine JUnit Christmas Decoration Extension und war Core Committer für das Gradle Build Tool. TDD und API-Design liegen ihm ebenso am Herzen wie die Arbeit an Open-Source-Software.

CLC-Newsletter

Ihr möchtet über die Continuous Lifecycle
auf dem Laufenden gehalten werden?

 

Anmelden