可以,但需满足两个前提:使用cmake/make/autotools构建系统且编译命令不屏蔽预处理器输出;CodeQL通过拦截编译器调用提取AST,不解析源码文本。
CodeQL 能否直接扫描 C++ 项目?
可以,但必须满足两个硬性前提:cmake、make 或 autotools 构建系统被实际调用,且编译命令中不屏蔽预处理器输出或跳过依赖解析。CodeQL 不解析头文件或源码文本,它靠“构建时拦截编译器调用”来提取 AST 和控制流图。如果项目用 clang++ 直接编译单个文件、或用 Ninja 但没启用 compile_commands.json,CodeQL 就会静默失败,扫描结果为空。
GitHub Actions 中配置 CodeQL 的关键步骤
在 .github/workflows/codeql-analysis.yml 中,重点不是加 action,而是确保构建环境与 CodeQL 的 autobuild 兼容:
- 使用
ubuntu-latest(CodeQL 官方仅保证该环境的 C++ 解析器完整) - 禁用
actions/checkout@v4的submodules: false—— 若项目含 submodule 且其中含 C++ 头文件,漏掉会导致类型解析失败 - 显式设置
build-mode: 'manual'并手写构建步骤,比依赖autobuild更可靠
name: "CodeQL"
on:
push:
branches: [main]
pull_request:
branches: [main]
jobs:
analyze:
runs-on: ubuntu-latest
steps:
uses: actions/checkout@v4 with: submodules: true
name: Initialize CodeQL uses: github/codeql-action/init@v3 with: languages: cpp
name: Build with CMake run: | mkdir build && cd build cmake -DCMAKE_EXPORT_COMPILE_COMMANDS=ON .. make -j$(nproc)
name: Perform CodeQL Analysis uses: github/codeql-action/analyze@v3
常见 C++ 扫描失败原因及修复
错误现象:Action 日志里出现
Failed to resolve type 'std::string'或No compilation commands found,但构建步骤显示成功。-
CMakeLists.txt中未启用set(CMAKE_EXPORT_COMPILE_COMMANDS ON)—— 必须加,这是 CodeQL 获取编译参数的唯一来源 - 使用了非标准编译器路径(如自定义
/opt/llvm/bin/clang++),但没通过CMAKE_CXX_COMPILER显式指定 —— CodeQL 只识别clang++和g++的标准名调用 - 项目含
#include等第三方库,但未在cmake中正确find_package(Boost)—— CodeQL 不会自动搜索系统路径,缺失头文件路径 = 类型无法解析
自定义查询需注意的 C++ 特性限制
CodeQL 的 C++ QL 库对模板、宏、SFINAE 支持有限。例如:
-
std::vecto的实例化类型
r
T在查询中不可直接获取 —— 只能匹配到vector字符串字面量 -
#define SAFE_DELETE(p) do { delete p; p = nullptr; } while(0)这类宏展开后的代码不会进入 AST —— 查询delete表达式将漏掉所有宏调用 - 使用
auto推导的变量类型,在Variable.getAType()中可能返回unknown—— 需改用Variable.getAnAssignedValue().getType()并加空值判断
复杂模板元编程或 heavily macro-based 项目,别指望开箱即用的默认查询能覆盖全部逻辑漏洞;得先用
codeql database create本地生成 DB,再用 VS Code 插件反复调试查询逻辑。-
