joern

Joern adalah platform untuk menganalisis kode sumber, bytecode, dan executable biner. Ini menghasilkan grafik properti kode (CPG), representasi grafik kode untuk analisis kode lintas bahasa. Grafik properti kode disimpan dalam database grafik khusus. Hal ini memungkinkan kode ditambang menggunakan kueri penelusuran yang diformulasikan dalam bahasa kueri khusus domain berbasis Scala. Joern dikembangkan dengan tujuan menyediakan alat yang berguna untuk penemuan kerentanan dan penelitian dalam analisis program statis.

Situs web: https://joern.io

Dokumentasi: https://docs.joern.io/

Spesifikasi: https://cpg.joern.io

• Joern v4.0.0 bermigrasi dari overflowdb ke flatgraph
• Joern v2.0.0 meningkatkan dari Scala2 ke Scala3
• Joern v1.2.0 menghapus kelas overflowdb.traversal.Traversal . Perubahan ini tidak sepenuhnya kompatibel. Lihat di sini untuk tulisan rinci.

• JDK 21 (versi lain mungkin berfungsi, tetapi belum diuji dengan benar)
• opsional : gcc dan g++ (untuk penemuan otomatis file header sistem C/C++ jika disertakan/digunakan dalam kode C/C++ Anda)

• mvn https://maven.apache.org/install.html

 wget https://github.com/joernio/joern/releases/latest/download/joern-install.sh
chmod +x ./joern-install.sh
sudo ./joern-install.sh
joern

     ██╗ ██████╗ ███████╗██████╗ ███╗   ██╗
     ██║██╔═══██╗██╔════╝██╔══██╗████╗  ██║
     ██║██║   ██║█████╗  ██████╔╝██╔██╗ ██║
██   ██║██║   ██║██╔══╝  ██╔══██╗██║╚██╗██║
╚█████╔╝╚██████╔╝███████╗██║  ██║██║ ╚████║
 ╚════╝  ╚═════╝ ╚══════╝╚═╝  ╚═╝╚═╝  ╚═══╝
Version: 2.0.1
Type `help` to begin

joern>

Jika skrip instalasi gagal karena alasan apa pun, coba

 ./joern-install --interactive

 docker run --rm -it -v /tmp:/tmp -v $(pwd):/app:rw -w /app -t ghcr.io/joernio/joern joern

Untuk menjalankan joern dalam mode server:

 docker run --rm -it -v /tmp:/tmp -v $(pwd):/app:rw -w /app -t ghcr.io/joernio/joern joern --server

Almalinux 9 memerlukan CPU untuk mendukung SSE4.2. Untuk VM kvm64 gunakan versi Almalinux 8 sebagai gantinya.

 docker run --rm -it -v /tmp:/tmp -v $(pwd):/app:rw -w /app -t ghcr.io/joernio/joern-alma8 joern

Rilis baru dibuat secara otomatis sekali sehari. Kontributor juga dapat menjalankan alur kerja rilis secara manual jika mereka memerlukan rilis lebih cepat.

Terima kasih telah meluangkan waktu untuk berkontribusi pada Joern! Berikut adalah beberapa panduan untuk memastikan permintaan penarikan Anda akan digabungkan sesegera mungkin:

• Cobalah untuk memanfaatkan templat sebisa mungkin, namun templat tersebut mungkin tidak sesuai dengan semua kebutuhan. Minimum yang ingin kami lihat adalah:
  • Judul yang menjelaskan secara singkat perubahan dan tujuan PR, sebaiknya dengan modul yang terpengaruh dalam tanda kurung siku, misalnya [javasrc2cpg] Addition Operator Fix .
  • Uraian singkat tentang perubahan tubuh Humas. Ini bisa dalam poin-poin atau paragraf.
  • Tautan atau referensi ke masalah terkait, jika ada.
• Tidak:
  • Segera CC/@/email spam kontributor lain, tim akan mereview PR dan menugaskan kontributor yang paling tepat untuk mereview PR tersebut. Joern dikelola oleh mitra industri dan peneliti, sebagian besar memiliki tujuan dan prioritas masing-masing, dan bantuan tambahan sebagian besar merupakan kerja sukarela. Jika PR Anda sudah basi, hubungi kami di komentar tindak lanjut dengan @ yang meminta penjelasan tentang prioritas atau perencanaan kapan hal tersebut dapat ditangani (jika ada, tergantung kualitasnya).
  • Biarkan isi deskripsi kosong, hal ini membuat peninjauan tujuan PR menjadi sulit.
• Ingatlah untuk:
  • Ingatlah untuk memformat kode Anda, yaitu jalankan sbt scalafmt Test/scalafmt
  • Tambahkan pengujian unit untuk memverifikasi perubahan Anda.

• Unduh Komunitas Intellij
• Instal dan jalankan
• Instal Plugin Scala - cukup cari dan instal dari dalam Intellij.
• Penting: buka sbt di repositori joern lokal Anda, jalankan compile dan biarkan tetap terbuka - ini akan memungkinkan kita menggunakan build BSP pada langkah berikutnya
• Kembali ke Intellij: buka proyek: pilih klon joern lokal Anda: pilih untuk dibuka sebagai BSP project (yaitu bukan sbt project !)
• Tunggu proses impor dan pengindeksan selesai, barulah Anda dapat memulai, misal Build -> build project atau jalankan pengujian

• Instal VSCode dan Docker
• Instal plugin ms-vscode-remote.remote-containers
• Buka folder proyek Joern di VSCode Visual Studio Code mendeteksi file baru dan membuka kotak pesan yang mengatakan: Folder contains a Dev Container configuration file. Reopen to folder to develop in a container.
• Pilih tombol Reopen in Container untuk membuka kembali folder dalam kontainer yang dibuat oleh file .devcontainer/Dockerfile
• Beralih ke sidebar scalameta.metals di VSCode, dan pilih import build di BUILD COMMANDS
• Setelah import build berhasil, Anda siap untuk mulai menulis kode untuk Joern

Cara cepat untuk mengembangkan dan menguji QueryDB:

 sbt stage
./querydb-install.sh
./joern-scan --list-query-names

Perintah terakhir mencetak semua kueri yang tersedia - tambahkan kueri Anda sendiri di querydb, jalankan kembali perintah di atas untuk melihat bahwa kueri Anda diterapkan. Detail lebih lanjut di readme querydb terpisah