可以,但需满足两个前提:使用cmake/make/autotools构建系统且编译命令不屏蔽预处理器输出;CodeQL通过拦截编译器调用提取AST,不解析源码文本。
CodeQL 能否直接扫描 C++ 项目?
可以,但必须满足两个硬性前提:cmake、make 或 autotools 构建系统被实际调用,且编译命令中不屏蔽预处理器输出或跳过依赖解析。CodeQL 不解析头文件或源码文本,它靠“构建时拦截编译器调用”来提取 AST 和控制流图。如果项目用 clang++ 直接编译单个文件、或用 Ninja 但没启用 compile_commands.json,CodeQL 就会静默失败,扫描结果为空。
GitHub Actions 中配置 CodeQL 的关键步骤
在 .github/workflows/codeql-analysis.yml 中,重点不是加 action,而是确保构建环境与 CodeQL 的 autobuild 兼容:
- 使用
ubuntu-latest(CodeQL 官方仅保证该环境的 C++ 解析器完整) - 禁用
actions/checkout@v4的submodules: false—— 若项目含 submodule 且其中含 C++ 头文件,漏掉会导致类型解析失败 - 显式设置
build-mode: 'manual'并手写构建步骤,比依赖autobuild更可靠
name: "CodeQL"
on:
push:
branches: [main]
pull_request:
branches: [main]
<p>jobs:
analyze:
runs-on: ubuntu-latest
steps:</p><ul><li><p>uses: actions/checkout@v4
with:
submodules: true</p></li><li><p>name: Initialize CodeQL
uses: github/codeql-action/init@v3
with:
languages: cpp</p></li><li><p>name: Build with CMake
run: |
mkdir build && cd build
cmake -DCMAKE_EXPORT_COMPILE_COMMANDS=ON ..
make -j$(nproc)</p></li><li><p>name: Perform CodeQL Analysis
uses: github/codeql-action/analyze@v3常见 C++ 扫描失败原因及修复
错误现象:Action 日志里出现 Failed to resolve type 'std::string' 或 No compilation commands found,但构建步骤显示成功。
-
CMakeLists.txt中未启用set(CMAKE_EXPORT_COMPILE_COMMANDS ON)—— 必须加,这是 CodeQL 获取编译参数的唯一来源 - 使用了非标准编译器路径(如自定义
/opt/llvm/bin/clang++),但没通过CMAKE_CXX_COMPILER显式指定 —— CodeQL 只识别clang++和g++的标准名调用 - 项目含
#include <boost/filesystem.hpp>等第三方库,但未在cmake中正确find_package(Boost)—— CodeQL 不会自动搜索系统路径,缺失头文件路径 = 类型无法解析
自定义查询需注意的 C++ 特性限制
CodeQL 的 C++ QL 库对模板、宏、SFINAE 支持有限。例如:
立即学习“C++免费学习笔记(深入)”;
-
std::vector<T>的实例化类型T在查询中不可直接获取 —— 只能匹配到vector字符串字面量 -
#define SAFE_DELETE(p) do { delete p; p = nullptr; } while(0)这类宏展开后的代码不会进入 AST —— 查询delete表达式将漏掉所有宏调用 - 使用
auto推导的变量类型,在Variable.getAType()中可能返回unknown—— 需改用Variable.getAnAssignedValue().getType()并加空值判断
复杂模板元编程或 heavily macro-based 项目,别指望开箱即用的默认查询能覆盖全部逻辑漏洞;得先用 codeql database create 本地生成 DB,再用 VS Code 插件反复调试查询逻辑。
