Query your codebase using CodeQL

Mit der Abfragesprache CodeQL lässt sich eine Codebasis genauso abfragen, als handele es sich um Daten. Softwareingenieure und -architekten können CodeQL daher nutzen, um Sicherheitsschwachstellen zu finden, indem sie entweder CodeQL direkt oder deren Integration mit GitHub nutzen. Über die bereits eingebauten Abfragen hinaus können Entwickler mit CodeQL auch benutzerdefinierte Abfragen für ihre (polyglotte) Codebasis schreiben und sie mit dem Rest des Teams teilen.

CodeQL wird vom GitHub Security Lab entwickelt und ist derzeit in der Lage, Code in den Programmiersprachen C/C++, C#, Java, JavaScript und Python abzufragen.

In dem Vortrag werden wir die grundlegende Verwendung von CodeQL, einige seiner fortgeschrittenen Funktionen wie Taint Tracking sowie die reichhaltige Abfragesprache kennenlernen und erfahren, wie Sie Ihre eigene Abfrage schreiben können.

Vorkenntnisse

Basiskenntnisse zu Softwareentwicklung, GitHub und statischer Codeanalyse.

Lernziele

Zuhörende erfahren, wie sich CodeQL als Codeanalyse-Tool nutzen lässt, wie es aufgebaut ist und wie man es um neue Abfragen erweitern kann.