Code QLで始めるソースコードの静的解析

WDDDS 2022 Code QLで始めるソースコードの静的解析 デバイスドライバ課 SP2206-E22

WDDDS 2022 目次 1. CodeQLとは 2. 動かしてみる 3. Queryをカスタムしてみる 4. Gihtubとの連携 5. WDKとCodeQL 6. 脆弱性あれこれ 7. まとめ

WDDDS 2022 １. CodeQLとは 1.1 CodeQLはこんなやつ  静的解析のエンジン ツールではなく技術自体 https://codeql.github.com/docs/  Semmleが開発 LGTMという静的解析フレームワークで使用 Microsoft傘下のGithubがSemmleを買収した https://lgtm.com/ 3

• https://codeql.github.com/docs/
• https://lgtm.com/

WDDDS 2022 １. CodeQLとは 1.2 なぜCodeQLなのか  WHCPの要件になった 認証取得においてCodeQLの検査が必須になった https://docs.microsoft.com/en-us/windowshardware/drivers/devtest/static-tools-and-codeql 4

• https://docs.microsoft.com/en-us/windows-hardware/drivers/devtest/static-tools-and-codeql

WDDDS 2022 １. CodeQLとは 1.3 特徴は？  CodeQLは静的解析のエンジン 解析手法そのもの。DBを作りこれにQueryを行うという方式が革 新的（らしい）  OSSで解析Queryが増え続けている 独自言語で拡張可能 5

WDDDS 2022 １. CodeQLとは 1.4 CodeQLって無料？ 学習や研究用途で使用する？ NO YES YES OSSで使用する？ 無料 NO WHCPで使用する？ YES NO 有料 6

WDDDS 2022 ２. 動かしてみる 2.1 前提知識  CodeQLはCLI（Comand Line Interface）を使います  基本Stepは、DB作成→Query実行、のみ 7

WDDDS 2022 ２. 動かしてみる 2.2 Microsoftの手順をやってみる  癖がある（感想） not foundエラーなど  Cloneするだけのリポジトリを作ってみた！ https://github.com/mkado-spc/wddds-2022-codeql 8

• https://github.com/mkado-spc/wdddc-2022-codeql

WDDDS 2022 ２. 動かしてみる 2.3 create database 9

WDDDS 2022 ２. 動かしてみる 2.4 analyze database 10

WDDDS 2022 ２. 動かしてみる 2.5 結果を確認する 11

WDDDS 2022 ３. Queryをカスタムしてみる 3.1 Write Queryするには？  QL languageという独自言語を使用  suites, packs といった単位で管理できる  言語としての学習コストはそれなりに高い！ https://codeql.github.com/docs/ https://lab.github.com/githubtraining/codeql-u-boot-challenge-(cc++) 12

• https://codeql.github.com/docs/
• https://lab.github.com/githubtraining/codeql-u-boot-challenge-(cc )

WDDDS 2022 ３. Queryをカスタムしてみる 3.2 hogeのQueryを実装してみた 13

WDDDS 2022 ３. Queryをカスタムしてみる 3.3 hogeを検出できた 14

WDDDS 2022 ４. GitHubとの連携 4.1 Code Scanning  CodeQLを使うならGithub GitHub上でのCI/CDが用意されている  ドライバでやろうとすると障壁が。。。 WDK導入必要 HLK向けは特定バージョンのCodeQLを使用が必要 https://github.com/microsoft/Windows-Driver-Developer-Supplemental-Tools 15

• https://github.com/microsoft/Windows-Driver-Developer-Supplemental-Tools

WDDDS 2022 ５. WDKとCodeQL 5.1 HLKとの関係  すでに22H2のブランチがある https://github.com/microsoft/Windows-Driver-DeveloperSupplemental-Tools/tree/WHCP_22H2  CodeQLのバージョンは更新していく模様 OSごとにQueryを行う環境を作らないといけない  Queryした後にもう1Stepファイル変換！ 16

• https://github.com/microsoft/Windows-Driver-Developer-Supplemental-Tools/tree/WHCP_22H2

WDDDS 2022 ６. 脆弱性あれこれ 6.1 Log4j 問題-勃発 https://scan.netsecurity.ne.jp/article/2021/12/16/46826.html 17

• https://scan.netsecurity.ne.jp/article/2021/12/16/46826.html

WDDDS 2022 ６. 脆弱性あれこれ 6.2 Log4j 問題-どうなった？  SPCにも問い合わせが続々と来ました お宅の製品で（略  もちろん対策済みです 最初に火がついたのが2021/12/10頃 日本で周知され始めたのが12/12～12/14頃 検知するQLが作成されたのが12/11で初版が12/14に完成！ https://github.com/github/codeql/blob/main/java/ql/src/experimental/Securi ty/CWE/CWE-020/Log4jJndiInjection.ql 18

• https://github.com/github/codeql/blob/main/java/ql/src/experimental/Security/CWE/CWE-020/Log4jJndiInjection.ql

WDDDS 2022 ７. まとめ  WHCPにはCodeQL必須  Queryの自作はハードル高い  OSSを効果的に活用していきましょう 19

WDDDS2022 ご清聴ありがとうございました 20