靜態程式碼弱點掃描工具 - CodeQL

最近看到有專案的 GitHub Actions 在用 CodeQL, 所以查了一下什麼是 CodeQL 。

原來 CodeQL 是 1 套開源靜態程式碼弱點掃描工具,每個人都可以使用這套工具對程式碼進行弱點掃描,例如 SQL injection, 使用 eval() 函式執行未知程式碼等等。

除此之外,CodeQL 也可以開發弱點的掃描規則,並且貢獻回 CodeQL 專案,為資訊安全貢獻一己之力。

CodeQL 有 CLI 指令工具之外,也提供 VSCode 外掛可以安裝,支援掃描的語言有 C/C++, C#, Go, Python, Java, Kotlin, JavaScript, Ruby, Swift 以及 TypeScript, 支援的框架有 Django, FastAPI, axios, Spring, JDBC, ASP.NET 等等,不僅主流語言都有涵蓋之外,在框架(framework)的部分也相當廣泛,足堪作為基本資安防身短刀使用!

CodeQL 官方網站

security
← Next
功能上線 3 階段思考框架
Previous →
PostgreSQL 的 RETURNING 子句

對抗久坐職業傷害

研究指出每天增加 2 小時坐著的時間,會增加大腸癌、心臟疾病、肺癌的風險,也造成肩頸、腰背疼痛等常見問題。

然而對抗這些問題,卻只需要工作時定期休息跟伸展身體即可!

你想輕鬆改變現狀嗎?試試看我們的 PomodoRoll 番茄鐘吧! PomodoRoll 番茄鐘會根據你所設定的專注時間,定期建議你 1 項辦公族適用的伸展運動,幫助你打敗久坐所帶來的傷害!

追蹤新知

看完這篇文章了嗎?還意猶未盡的話,追蹤粉絲專頁吧!

我們每天至少分享 1 篇文章/新聞或者實用的軟體/工具,讓你輕鬆增廣見聞提升專業能力!如果你喜歡我們的文章,或是想了解更多特定主題的教學,歡迎到我們的粉絲專頁按讚、留言讓我們知道。你的鼓勵,是我們的原力!

贊助我們的創作

看完這篇文章了嗎? 休息一下,喝杯咖啡吧!

如果你覺得 MyApollo 有讓你獲得實用的資訊,希望能看到更多的技術分享,邀請你贊助我們一杯咖啡,讓我們有更多的動力與精力繼續提供高品質的文章,感謝你的支持!