首页
/ CodeQL Java数据流分析中FlowState状态管理的升级实践

CodeQL Java数据流分析中FlowState状态管理的升级实践

2025-05-28 14:58:33作者:范靓好Udolf
codeql
CodeQL: the libraries and queries that power security researchers around the world, as well as code scanning in GitHub Advanced Security
项目地址:https://gitcode.com/gh_mirrors/co/codeql

背景介绍

在CodeQL 2.20.3版本中,数据流分析API进行了重大更新,特别是对于需要跟踪数据流状态的查询。本文将以一个实际的安全检测查询为例,详细介绍如何将旧版的FlowState实现迁移到新版API。

新旧API对比

在旧版API中,FlowState是通过继承DataFlow::FlowState基类来实现的,开发者可以简单地定义多个状态类:

class State1 extends DataFlow::FlowState { State1() { this = "State1" } }
class State2 extends DataFlow::FlowState { State2() { this = "State2" } }

而在新版API中,FlowState需要作为一个完整的类型系统来实现,这提供了更强的类型安全性,但也需要更明确的定义。

新版FlowState实现方案

方案一:基于字符串的实现

class FlowState extends string {
  FlowState() {
    this = "State1" or this = "State2" or this = "State3"
  }
}

这种实现方式简单直接,允许在谓词中直接比较状态字符串。例如:

predicate isSource(DataFlow::Node source, FlowState state) {
  state = "State1" and
  exists(SensitiveVariableExpr sve | source.asExpr() = sve)
}

方案二:基于newtype的强类型实现

newtype MyFlowState = State1() or State2() or State3()

class FlowState = MyFlowState

这种实现方式提供了更好的类型安全性,每个状态都是一个独立的类型实例。使用时需要匹配具体的状态构造函数:

predicate isSource(DataFlow::Node source, FlowState state) {
  state instanceof State1() and
  exists(SensitiveVariableExpr sve | source.asExpr() = sve)
}

实际应用案例

在一个检测敏感信息通过错误消息泄露的安全查询中,我们定义了三个关键状态:

  1. State1:标记包含敏感信息的变量
  2. State2:敏感信息流入异常对象的构造过程
  3. State3:异常信息被输出到日志或错误响应中

状态转换逻辑通过isAdditionalFlowStep谓词实现:

predicate isAdditionalFlowStep(
  DataFlow::Node node1, FlowState state1,
  DataFlow::Node node2, FlowState state2
) {
  // State1到State2的转换:敏感数据流入异常构造
  state1 instanceof State1() and
  state2 instanceof State2() and
  exists(ConstructorCall cc |
    cc.getAnArgument() = node1.asExpr() and
    cc.getConstructor().getDeclaringType().(RefType)
      .getASupertype+().hasQualifiedName("java.lang", "Throwable") and
    not cc.getConstructor().getDeclaringType().(RefType)
      .getASupertype+().hasQualifiedName("java.lang", "RuntimeException") and
    cc = node2.asExpr()
  ) or
  
  // State2到State3的转换:异常被捕获并获取消息
  state1 instanceof State2() and
  state2 instanceof State3() and
  exists(ThrowStmt t, CatchClause catchClause |
    t.getExpr() = node1.asExpr() and
    catchClause.getVariable().getAnAccess() = node2.asExpr()
  )
}

迁移注意事项

  1. 类型系统完整性:新版API要求FlowState必须明确定义所有可能的状态值
  2. 状态匹配语法:从简单的instanceof检查变为具体的状态值或构造函数匹配
  3. 模块化组织:建议将FlowState定义放在实现StateConfigSig的模块内
  4. 类型安全性:优先考虑使用newtype实现,可以获得更好的编译时检查

总结

CodeQL新版数据流API对状态管理进行了更严格的规范,虽然增加了初始配置的复杂度,但提供了更强的类型安全性和更清晰的语义表达。在实际迁移过程中,开发者需要仔细设计状态类型系统,并确保所有状态转换逻辑与新API兼容。本文介绍的两种实现方式各有优劣,开发者可以根据具体查询的复杂度选择最适合的方案。

codeql
CodeQL: the libraries and queries that power security researchers around the world, as well as code scanning in GitHub Advanced Security
项目地址:https://gitcode.com/gh_mirrors/co/codeql
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
27
11
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
514
3.69 K
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
873
538
pytorchpytorch
Ascend Extension for PyTorch
Python
317
360
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
334
153
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.31 K
732
flutter_flutterflutter_flutter
暂无简介
Dart
757
182
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
12
1
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
67
20
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1.05 K
519