RSS Блог "След бит"
Подписаться
Представляем mrva, подход, ориентированный на терминал, к анализу вариантов CodeQL в нескольких репозиториях.
Автор создал `mrva`, альтернативу MRVA (многорепозиторный вариант анализа CodeQL от GitHub), ориентированную на терминал, для пользователей Vim, работающую локально. `mrva` позволяет пользователям загружать предварительно собранные базы данных CodeQL, анализировать их с помощью запросов и просматривать результаты в терминале. Установка проста с использованием менеджера пакетов Python, включающая шаги загрузки, анализа и вывода. `mrva` отличается от расширения VS Code и CLI GitHub, отдавая предпочтение локальному выполнению и настройке. Ключевые особенности включают локальный анализ, упрощенную модификацию параметров и локальный просмотр результатов. Полезные детали реализации включают API базы данных GitHub CodeQL и флаги, такие как `--sarif-add-file-contents`. Текст различает запросы на предупреждения и запросы на пути, а также выделяет запросы на графики для расширенного анализа. Автор ценит `mrva` за его гибкость, позволяющую проводить локальный, запланированный и безголовый анализ. Цель - находить ошибки безопасности в масштабе со всеми преимуществами терминала. Автор с нетерпением ждет будущих исследований CodeQL.
