代码扫描过程中,经常会遇到使用yaml 配置文件的情况。但是yaml 文件,codeql 目前只有javascript 的数据库会包含。就是其他语言(go, java),你是用yaml配置文件。codeql 默认构建数据库不会解析yaml,导致漏报一些硬编码的问题。
我的解决方案:
构建过程中添加构建一个 javacript 数据库。--language 加参数。
具体如下:
bash
codeql create database codeql-db --language=go,javascript --db-cluster --overwrite
执行完成后, 我的 codeql-db 目录就会有两个子目录 一个go, 一个javascript。 在独立去执行分析命令就可以了。