CodeQL은 LGTM 이 제공하는 Semantic Code Analysis Engine입니다. LGTM 플랫폼을 개발하는 Semmel (셈멜)은 2019년 GitHub로부터 인수되었고, 2018년에 GitHub는 Microsoft가 약 75억달러(약8조)에 인수하였습니다. 결국 CodeQL은 Microsoft의 기술이 되었으며, 오픈소스소프트웨어를 위한 Public Repository를 무료로 제공하는 GitHub에 빠르게 통합되고 있습니다.
CodeQL
GitHub CodeQL can only be used on codebases that are released under an OSI-approved open source license, or to perform academic research, or to generate CodeQL databases for or during automated analysis, continuous integration (CI) or continuous delivery (
codeql.github.com
CodeQL의 Code와 QL의 의미는 흔해 데이터베이스에 쌓여 있는 데이터로부터 원하는 데이터를 필터링하여 검색할 때 사용하는 Query (쿼리)문을 통해 Code기반의 잠재된 취약점을 빠르게 검색하겠다는 의미입니다. CodeQL은 Code를 Data같이 활용하여 Codebase를 생성하고 다양한 Query문으로 보안 취약점이 있는 코드에 대해 검색을 가능하게 합니다. 여기서 이 Query는 보안 취약점이 있는 코드들을 검색할 수 있는 Query문으로, 이 Query를 어떻게 작성하는지에 따라 코드로부터 취약점을 스캐닝할 수 있는지 없는지가 결정됩니다.
CodeQL은 범용적으로 사용 가능한 CodeQL Bundle을 제공하고 있으며, 다양한 오픈소스 개발자로부터 CodeQL Pack의 공개를 유도하고 있습니다.
Releases · github/codeql-action
Actions for running CodeQL analysis. Contribute to github/codeql-action development by creating an account on GitHub.
github.com
댓글