Представляем mrva, подход, ори... Заметка
RSS Блог "След бит"

Представляем mrva, подход, ориентированный на терминал, к анализу вариантов CodeQL в нескольких репозиториях.

Автор создал mrva, альтернативу MRVA (многорепозиторный вариант анализа CodeQL от GitHub), ориентированную на терминал, для пользователей Vim, работающую локально. mrva позволяет пользователям загружать предварительно собранные базы данных CodeQL, анализировать их с помощью запросов и просматривать результаты в терминале. Установка проста с использованием менеджера пакетов Python, включающая шаги загрузки, анализа и вывода. mrva отличается от расширения VS Code и CLI GitHub, отдавая предпочтение локальному выполнению и настройке. Ключевые особенности включают локальный анализ, упрощенную модификацию параметров и локальный просмотр результатов. Полезные детали реализации включают API базы данных GitHub CodeQL и флаги, такие как --sarif-add-file-contents. Текст различает запросы на предупреждения и запросы на пути, а также выделяет запросы на графики для расширенного анализа. Автор ценит mrva за его гибкость, позволяющую проводить локальный, запланированный и безголовый анализ. Цель - находить ошибки безопасности в масштабе со всеми преимуществами терминала. Автор с нетерпением ждет будущих исследований CodeQL.
CdXz5zHNQW_c8QLcSNLn3.webp