問題タブ [codeql]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
static-analysis - ライブラリ/依存関係の追加のソース コードを CodeQL データベースに追加する方法は?
LGTM (GNU coreutils) からダウンロードしたコード リポジトリ全体で汚染をグローバルに追跡しようとしていますが、CodeQL は libc の呼び出しも「汚染されている」と見なしているようですが、実際には汚染を導入していません。次の例を検討してください。
some_arrayまたは汚染されていた場合some_fptr、バイトも CodeQL によって汚染されていると見なされるようになりました。これは安全側にあるのではないかと思います (汚染を過大評価するよりも過小評価するほうがよいでしょう)。
編集:明らかに、外部呼び出しはデフォルトで汚染を導入しないと見なされますが、libc などの一般的な API の場合、ドキュメントに基づいて汚染追跡に関するモデルが作成されます。ただし、この場合は少し間違っているように見えますが、継続的に進化しています。
CodeQL が保持するソース データベースに glibc ソースを含めて、これらの「クローズド ソース」関数呼び出し全体でクエリが汚染をより正確に判断できるようにするにはどうすればよいでしょうか?
コードが他のプリコンパイル済みライブラリに依存している場合、このソース コードを CodeQL で使用できるようにするにはどうすればよいですか?