joern

Joern ist eine Plattform zur Analyse von Quellcode, Bytecode und binären ausführbaren Dateien. Es generiert Code-Property-Graphs (CPGs), eine grafische Darstellung des Codes für die sprachübergreifende Code-Analyse. Codeeigenschaftsdiagramme werden in einer benutzerdefinierten Diagrammdatenbank gespeichert. Dies ermöglicht das Mining von Code mithilfe von Suchanfragen, die in einer Scala-basierten domänenspezifischen Abfragesprache formuliert sind. Joern wurde mit dem Ziel entwickelt, ein nützliches Werkzeug zur Schwachstellenerkennung und -forschung in der statischen Programmanalyse bereitzustellen.

Website: https://joern.io

Dokumentation: https://docs.joern.io/

Spezifikation: https://cpg.joern.io

• Joern v4.0.0 migriert von overflowdb zu flatgraph
• Joern v2.0.0 aktualisiert von Scala2 auf Scala3
• Joern v1.2.0 entfernt die Klasse overflowdb.traversal.Traversal . Diese Änderung ist nicht vollständig abwärtskompatibel. Eine ausführliche Beschreibung finden Sie hier.

• JDK 21 (andere Versionen funktionieren möglicherweise , wurden jedoch nicht ordnungsgemäß getestet)
• optional : gcc und g++ (zur automatischen Erkennung von C/C++-System-Header-Dateien, sofern diese in Ihrem C/C++-Code enthalten/verwendet sind)

• mvn https://maven.apache.org/install.html

 wget https://github.com/joernio/joern/releases/latest/download/joern-install.sh
chmod +x ./joern-install.sh
sudo ./joern-install.sh
joern

     ██╗ ██████╗ ███████╗██████╗ ███╗   ██╗
     ██║██╔═══██╗██╔════╝██╔══██╗████╗  ██║
     ██║██║   ██║█████╗  ██████╔╝██╔██╗ ██║
██   ██║██║   ██║██╔══╝  ██╔══██╗██║╚██╗██║
╚█████╔╝╚██████╔╝███████╗██║  ██║██║ ╚████║
 ╚════╝  ╚═════╝ ╚══════╝╚═╝  ╚═╝╚═╝  ╚═══╝
Version: 2.0.1
Type `help` to begin

joern>

Wenn das Installationsskript aus irgendeinem Grund fehlschlägt, versuchen Sie es

 ./joern-install --interactive

 docker run --rm -it -v /tmp:/tmp -v $(pwd):/app:rw -w /app -t ghcr.io/joernio/joern joern

So führen Sie joern im Servermodus aus:

 docker run --rm -it -v /tmp:/tmp -v $(pwd):/app:rw -w /app -t ghcr.io/joernio/joern joern --server

Für Almalinux 9 muss die CPU SSE4.2 unterstützen. Verwenden Sie für kvm64-VMs stattdessen die Almalinux 8-Version.

 docker run --rm -it -v /tmp:/tmp -v $(pwd):/app:rw -w /app -t ghcr.io/joernio/joern-alma8 joern

Einmal täglich wird automatisch ein neues Release erstellt. Mitwirkende können den Veröffentlichungsworkflow auch manuell ausführen, wenn sie die Veröffentlichung früher benötigen.

Vielen Dank, dass Sie sich die Zeit genommen haben, zu Joern beizutragen! Hier sind ein paar Richtlinien, um sicherzustellen, dass Ihre Pull-Anfrage so schnell wie möglich zusammengeführt wird:

• Versuchen Sie, die Vorlagen so weit wie möglich zu nutzen, sie werden jedoch möglicherweise nicht allen Anforderungen gerecht. Das Minimum, das wir sehen möchten, ist:
  • Ein Titel, der die Änderung und den Zweck der PR kurz beschreibt, vorzugsweise mit dem betroffenen Modul in eckigen Klammern, z. B. [javasrc2cpg] Addition Operator Fix .
  • Eine kurze Beschreibung der Änderungen im PR-Körper. Dies kann in Aufzählungspunkten oder Absätzen erfolgen.
  • Ein Link oder Verweis auf das entsprechende Problem, falls vorhanden.
• Nicht:
  • Sobald andere Mitwirkende CC/@/E-Mail-Spam erhalten, überprüft das Team die PR und weist den am besten geeigneten Mitwirkenden mit der Überprüfung der PR zu. Joern wird von Industriepartnern und Forschern gleichermaßen betreut, größtenteils mit ihren eigenen Zielen und Prioritäten, und zusätzliche Hilfe erfolgt größtenteils durch ehrenamtliche Arbeit. Wenn Ihre PR veraltet ist, wenden Sie sich in Folgekommentaren mit @ an uns und bitten Sie um eine Erläuterung der Priorität oder einen Plan, wann das Problem behoben werden kann (wenn überhaupt, abhängig von der Qualität).
  • Lassen Sie den Beschreibungstext leer, da dies die Überprüfung des Zwecks der PR erschwert.
• Denken Sie daran:
  • Denken Sie daran, Ihren Code zu formatieren, dh führen Sie sbt scalafmt Test/scalafmt aus
  • Fügen Sie einen Komponententest hinzu, um Ihre Änderung zu überprüfen.

• Laden Sie die Intellij-Community herunter
• Installieren Sie es und führen Sie es aus
• Installieren Sie das Scala-Plugin – suchen und installieren Sie es einfach in Intellij.
• Wichtig: Öffnen Sie sbt in Ihrem lokalen Jörn-Repository, führen Sie compile aus und lassen Sie es geöffnet – so können wir im nächsten Schritt den BSP-Build verwenden
• Zurück zu Intellij: Projekt öffnen: Wählen Sie Ihren lokalen Jörn-Klon aus: Wählen Sie, ob er als BSP project geöffnet werden soll (d. h. nicht als sbt project !)
• Warten Sie, bis der Import und die Indizierung abgeschlossen sind. Dann können Sie beginnen, z. B. Build -> build project oder einen Test ausführen

• Installieren Sie VSCode und Docker
• Installieren Sie das Plugin ms-vscode-remote.remote-containers
• Öffnen Sie den Joern-Projektordner in VSCode. Visual Studio Code erkennt die neuen Dateien und öffnet ein Meldungsfeld mit der Meldung: Folder contains a Dev Container configuration file. Reopen to folder to develop in a container.
• Wählen Sie die Schaltfläche Reopen in Container um den Ordner im Container, der durch die Datei .devcontainer/Dockerfile erstellt wurde, erneut zu öffnen
• Wechseln Sie in VSCode zur Seitenleiste scalameta.metals und wählen Sie import build in BUILD COMMANDS aus
• Nachdem import build erfolgreich war, können Sie mit dem Schreiben von Code für Joern beginnen

Schnelle Möglichkeit, QueryDB zu entwickeln und zu testen:

 sbt stage
./querydb-install.sh
./joern-scan --list-query-names

Der letzte Befehl druckt alle verfügbaren Abfragen – fügen Sie Ihre eigene in querydb hinzu und führen Sie die obigen Befehle erneut aus, um zu sehen, dass Ihre Abfrage bereitgestellt wurde. Weitere Details finden Sie in der separaten Querydb-Readme-Datei