1.创建codeql运行环境

codeql-cli

https://github.com/github/codeql/releases/tag/codeql-cli%2Fv2.22.2https://github.com/github/codeql/releases/tag/codeql-cli%2Fv2.22.2

        CodeQL CLI 是可用于分析代码的独立代码行工具。 其主要用途是生成代码空间的数据库表示形式，即 CodeQL 数据库。 数据库准备就绪后，你可以进行交互式查询，或者运行一系列查询。

注意这个是个工具哦

配置codeql-cli环境变量
 

codeql-main

        SDK中包含了CodQL标准库和各种主流语言的常见查询规则，方便开发者进行二次开发

https://github.com/github/codeqlhttps://github.com/github/codeql

git clone https://github.com/github/codeql

jdk 和 gradle 的环境变量

Jdk环境变量

下载链接

https://download.oracle.com/java/21/latest/jdk-21_windows-x64_bin.exehttps://download.oracle.com/java/21/latest/jdk-21_windows-x64_bin.exe (sha256)

环境变量配置：

 测试是否配置成功：

gradle环境变量配置 

Gradle | ReleasesFind binaries and reference documentation for current and past versions of Gradle.https://gradle.org/releases/

点击下载如下 

配置环境变量:

 

测试： 

分析项目：GradleDemo1 

GradleDemo1https://pan.baidu.com/s/1vKYlLv2OlhIm17GaZP5-UQ?pwd=qjec 命令1：创建分析数据库：codeql database create <databasePath> --language=java --command="gradle clean build -x test" --source-root=<FilePath>

<databasePath>:生成的数据库文件地址是个文件夹

<FilePath>：项目地址

 数据库已经创建成功。

命令2：安全检测：codeql database analyze <databasePath> <queryPath> --ram=7096 --format=csv --output=<result.csv>

<databasePath>：数据库地址 <result.csv>：生成的分析结构地址 <queryPath>:分析语句地址

分析语句地址要看我们的codeql-main也就是我们的SDK。codeql-main\java\ql\src\codeql-suites\java-security-experimental.qls

 查看分析结果

分析结果显示为一个XSS 

查看漏洞是否存在

 留个关注吧！！！