使用 CodeQL 分析 AOSP 完整指南<\/h1>

1. CodeQL 简介<\/h2>

CodeQL 是一个开源的代码分析平台和漏洞扫描工具，其工作原理如下：<\/p>

提取阶段<\/strong>：通过介入代码编译过程（编译型语言）或静态程序分析（解释型语言）获取代码语义信息<\/li>
数据库生成<\/strong>：将提取的信息转换为 CodeQL 数据库<\/li>

查询分析<\/strong>：使用专用 QL 语言编写查询语句来发现漏洞风险<\/li> <\/ol>
CodeQL 的前身是 Semmle 的 LGTM 平台，2019 年被 GitHub 收购后开放了本地工具并开源了部分代码。<\/p>
2. 准备工作<\/h2>
2.1 系统要求<\/h3>

操作系统<\/strong>：64 位 Ubuntu 18.04 或 16.04（不再支持 macOS）<\/li>
硬件要求<\/strong>：

16GB+ 内存<\/li>
500GB+ 磁盘空间<\/li> <\/ul> <\/li> <\/ul>
2.2 获取 AOSP 源码<\/h3>
推荐使用清华镜像源的每月初始化包：<\/p>
wget -c mirrors.tuna.tsinghua.edu.cn\/aosp-monthly\/aosp-latest.tar <\/span><\/span>tar xf aosp-latest.tar <\/span><\/span>cd AOSP\/.repo\/repo <\/span><\/span>git pull origin master <\/span><\/span>cd repo\/repo\/repo sync <\/span><\/span><\/code><\/pre>3. 编译 AOSP<\/h2> 安装依赖包（参考官方文档）<\/li> 初始化编译环境：<\/li> <\/ol> source build\/envsetup.sh <\/span><\/span>lunch aosp_x86_64-eng <\/span><\/span>m -j16 # 根据CPU核心数调整线程数<\/span> <\/span><\/span><\/code><\/pre>编译完成后会占用约 300GB 空间，在 out\/target\/product\/generic_x86_64\/<\/code> 目录下可找到镜像文件。<\/p> 4. 生成 CodeQL 数据库<\/h2> 4.1 基本方法<\/h3> 以分析 frameworks\/base 为例：<\/p> codeql database create ..\/codeql_frameworks \ <\/span><\/span><\/span><\/span> --language=<\/span>java \ <\/span><\/span><\/span><\/span> --command=<\/span>"mmm frameworks\/base"<\/span> \ <\/span><\/span><\/span><\/span> --source-root frameworks\/base \ <\/span><\/span><\/span><\/span> --overwrite <\/span><\/span><\/code><\/pre>4.2 常见问题及解决方案<\/h3> 问题1：找不到 mmm 命令<\/h4> 原因<\/strong>：CodeQL 使用 preload_tracer<\/code> 启动新进程，环境变量不继承<\/p> 解决方案<\/strong>：<\/p> 方法1：直接调用 soong 命令<\/p> codeql database create ..\/codeql-frameworks \ <\/span><\/span><\/span><\/span> --language=<\/span>java \ <\/span><\/span><\/span><\/span> --command=<\/span>"`pwd`\/build\/soong\/soong_ui.bash --make-mode -j1 framework-minus-apex"<\/span> \ <\/span><\/span><\/span><\/span> --source-root frameworks\/base \ <\/span><\/span><\/span><\/span> --overwrite <\/span><\/span><\/code><\/pre>方法2：使用编译脚本<\/p> #!\/bin\/bash <\/span><\/span><\/span><\/span>cd $1 <\/span><\/span>source .\/build\/envsetup.sh <\/span><\/span>lunch aosp_x86_64-eng <\/span><\/span>mmm $2 <\/span><\/span><\/code><\/pre>问题2：编译过程中没有发现代码<\/h4> 错误信息<\/strong>：No source code was seen and extracted<\/code><\/p> 解决方案<\/strong>：<\/p> export ALLOW_NINJA_ENV=<\/span>true <\/span><\/span><\/code><\/pre>问题3：目录不存在错误<\/h4> 错误信息<\/strong>：directory \/home\/aosp\/codeql-frameworks\/log\/ext does not exist<\/code><\/p> 原因<\/strong>：AOSP 的 Soong 编译系统默认启用只读沙盒<\/p> 解决方案<\/strong>：<\/p> 将数据库路径设置为 .\/out\/codeql-frameworks<\/code><\/li> 最终命令：<\/li> <\/ol> codeql database create out\/codeql-frameworks \ <\/span><\/span><\/span><\/span> --language=<\/span>java \ <\/span><\/span><\/span><\/span> --command=<\/span>"`pwd`\/build\/soong\/soong_ui.bash --make-mode -j1 framework-minus-apex"<\/span> \ <\/span><\/span><\/span><\/span> --source-root frameworks\/base \ <\/span><\/span><\/span><\/span> --overwrite <\/span><\/span><\/code><\/pre>4.3 内存问题处理<\/h3> 如果遇到 OOM 错误，需要修改 codeql-java-agent.jar<\/code> 中的 JVM 参数：<\/p> 使用反编译工具（如 Recaf）打开 codeql-java-agent.jar<\/code><\/li> 找到 com.semmle.extractor.java.Utils<\/code> 类中的 invokeOdasaJavac<\/code> 方法<\/li> 将 JVM 选项从 -Xmx1g<\/code> 修改为 -Xmx4g<\/code><\/li> <\/ol> 5. CodeQL 工作原理深入<\/h2> 5.1 编译过程拦截<\/h3> CodeQL 通过以下机制介入编译过程：<\/p> preload_tracer<\/strong>：使用 LD_PRELOAD<\/code>\/DYLD_INSERT_LIBRARIES<\/code> 注入<\/li> libtrace<\/strong>：Lua 解释器，解释 tracing-config.lua<\/code> 脚本<\/li> Java Agent<\/strong>：注入 codeql-java-agent.jar<\/code> 到 JVM 进程<\/li> <\/ol> 5.2 文件系统限制<\/h3> AOSP 的 Soong 编译系统限制：<\/p> 默认只允许写入 .\/out\/<\/code> 目录<\/li> 可通过以下变量调整： BUILD_BROKEN_SRC_DIR_RW_ALLOWLIST<\/code>：指定白名单路径<\/li> BUILD_BROKEN_SRC_DIR_IS_WRITABLE<\/code>：完全禁用只读限制（不推荐）<\/li> <\/ul> <\/li> <\/ol> 6. 最佳实践<\/h2> 数据库路径<\/strong>：始终放在 .\/out\/<\/code> 目录下<\/li> 环境变量<\/strong>：确保设置 ALLOW_NINJA_ENV=true<\/code><\/li> 内存配置<\/strong>：根据项目规模调整 JVM 内存参数<\/li> 清理缓存<\/strong>：生成新数据库前删除旧缓存： rm -rf .\/out\/soong\/.intermediates\/frameworks\/base\/* <\/span><\/span><\/code><\/pre><\/li> <\/ol> 7. 总结<\/h2> 成功生成 CodeQL 数据库的关键步骤：<\/p> 正确设置编译命令和环境变量<\/li> 处理 AOSP 的文件系统限制<\/li> 解决内存和路径问题<\/li> 最终输出路径应为 out\/codeql-frameworks<\/code><\/li> <\/ol> 通过以上方法，可以成功为 AOSP 生成 CodeQL 数据库，为后续的代码分析和漏洞挖掘奠定基础。<\/p>