Llegamos a ustedes gracias a:



Noticias

GitHub hace que CodeQL sea libre para la investigación y el código abierto

[19/11/2019] CodeQL, un motor de análisis de código semántico y una herramienta de consulta para encontrar vulnerabilidades de seguridad a través de una base de código, ha sido puesto a disposición de forma gratuita por GitHub para que cualquiera pueda usarlo en la investigación o para analizar código abierto.

CodeQL consulta el código como si fueran datos. Los desarrolladores pueden usar CodeQL para escribir una consulta que encuentre todas las variantes de una vulnerabilidad, y luego compartir esa consulta con otros desarrolladores. Por ejemplo, un desarrollador podría crear una consulta que imite una clase de error para scripts de sitios cruzados, y luego usar esa consulta para encontrar cualquier clase de error. CodeQL también se puede utilizar para encontrar días cero, variantes de vulnerabilidades críticas y defectos como desbordamientos de búfer o problemas de inyección SQL.

CodeQL fue desarrollado hace varios años por Semmle, que fue adquirido por GitHub en septiembre. Antes de hacer que CodeQL estuviera disponible de forma gratuita para el código fuente abierto, Semmle lo proporcionó como un servicio comercialmente disponible. Todavía está disponible bajo una licencia comercial para repositorios de código privado.

Las características de CodeQL incluyen:

  • Bibliotecas para el control y análisis de flujo de datos, seguimiento de manchas y exploración de modelos de amenazas. Los lenguajes soportados incluyen C/C++, C#, Java, JavaScript, Python y otros. Un idioma que actualmente no está soportado es el Rust.
  • CodeQL plug-ins para IDEs.
  • La consola de consulta LGTM, que puede utilizarse para escribir CodeQL en un navegador y consultar un portafolio de vulnerabilidades.
  • La capacidad de ejecutar consultas listas para usar o consultas personalizadas en múltiples bases de código.

CodeQL puede ser probado en la consola de consulta LGTM en LGTM.com.