mrva 소개: CodeQL 다중 리포지토리 변형 분석을 위한 터미널 우선 접근 방식
저자는 GitHub의 CodeQL 다중 리포지토리 변형 분석(MRVA)에 대한 터미널 우선 대안인 `mrva`를 만들었으며, Vim 사용자를 위해 로컬에서 실행되도록 설계했습니다. `mrva`를 사용하면 사용자는 미리 빌드된 CodeQL 데이터베이스를 다운로드하고, 쿼리로 분석하고, 터미널에서 결과를 볼 수 있습니다. 설치는 Python의 패키지 관리자를 사용하여 간단하며, 다운로드, 분석 및 출력 단계를 포함합니다. `mrva`는 GitHub의 VS Code 확장 및 CLI와 달리 로컬 실행 및 사용자 정의를 우선시합니다. 주요 기능으로는 로컬 분석, 쉬운 매개변수 수정, 로컬 결과 보기 등이 있습니다. 유용한 구현 세부 정보로는 GitHub CodeQL 데이터베이스 API와 `--sarif-add-file-contents`와 같은 플래그가 있습니다. 이 텍스트는 고급 분석을 위해 경고 쿼리와 경로 쿼리를 구분하고 그래프 쿼리를 강조합니다. 저자는 `mrva`의 유연성을 높이 평가하며, 로컬, 예약, 헤드리스 분석을 가능하게 합니다. 목표는 터미널의 모든 이점을 활용하여 대규모로 보안 버그를 찾는 것입니다. 저자는 향후 CodeQL 탐색을 기대하고 있습니다.
