安全

从0到1开发AI代码审计系统

从0到1开发AI代码审计系统

整体就是应用codeql和调用阿里大模型api

CodeQL 使用与接入

直接看官方文档更佳

安装CodeQL软件

1
2
3
4
5
6
7
curl -sSL https://github.com/github/codeql-cli-binaries/releases/lates
t/download/codeql-linux64.zip -o codeql.zip
unzip codeql.zip -d /opt && ln -s /opt/codeql/codeql /usr/local/bin/cod
eql
#下载规则集
cd extend/codeql/ && git clone --depth=1 https://github.com/github/code
ql.git rules

使用 codeql

1
2
3
4
5
6
7
8
9
apt install python3 -y
# 创建CodeQL数据库
codeql database create /tmp/codeqlDabases --language={$language} --sour
ce-root $codePath
#选择数据库(默认不需要)
codeql database finalize /tmp/codeqlDabases
#分析代码
codeql database analyze /tmp/codeqlDabases extend/codeql/rules/{$langua
ge}/ql/src/Security/ --format=sarifv2.1.0 --output=aa.json

接入大模型

所谓接入大模型就是将扫描的结果,通过提示词 调用大模型api 返回结果。 不限于阿里大模型 ,使用ollama 搭建本地模型也一样

php mysql 数据 thinkphp 因为都比较熟悉直接忽略

kenfang

这里是 kenfang 的技术安全自留地。不谈空泛理论,只聊真实场景 —— 从代码层面的安全编码规范,到服务器的渗透测试与加固技巧,再到业务系统的安全架构设计。记录技术探索中的安全心得,拆解攻防案例,为技术从业者提供可落地的安全解决方案。