CodeQL中Source点实现逻辑与Spring框架污点源分析<\/h1>

一、Source点基础概念<\/h2>

1.1 SourceNode抽象类<\/h3>

abstract class SourceNode extends DataFlow::Node {
  \/** 获取代表威胁模型类型的字符串 *\/
  abstract string getThreatModel();
}
<\/code><\/pre>
1.2 ActiveThreatModelSource类<\/h3>
class ActiveThreatModelSource extends DataFlow::Node {
  ActiveThreatModelSource() {
    exists(string kind |
      currentThreatModel(kind) and
      (this.(SourceNode).getThreatModel() = kind or sourceNode(this, kind))
    )
  }
}
<\/code><\/pre>
二、官方基础Source实现<\/h2>
2.1 RemoteFlowSource远程流源<\/h3>
abstract class RemoteFlowSource extends SourceNode {
  abstract string getSourceType();
  override string getThreatModel() { result = "remote" }
}
<\/code><\/pre>
2.2 SpringServletInputParameterSource实现<\/h3>
private class SpringServletInputParameterSource extends RemoteFlowSource {
  SpringServletInputParameterSource() {
    this.asParameter() = any(SpringRequestMappingParameter srmp | srmp.isTaintedInput())
  }
  override string getSourceType() { result = "Spring servlet input parameter" }
}
<\/code><\/pre>
2.3 LocalUserInput本地用户输入<\/h3>
abstract class LocalUserInput extends UserInput {
  override string getThreatModel() { result = "local" }
}

private class DbInput extends LocalUserInput {
  DbInput() { sourceNode(this, "database") }
  override string getThreatModel() { result = "database" }
}
<\/code><\/pre>
三、威胁模型配置系统<\/h2>
3.1 威胁模型配置谓词<\/h3>
extensible predicate threatModelConfiguration(string kind, boolean enable, int priority);
extensible private predicate threatModelGrouping(string kind, string group);
<\/code><\/pre>
3.2 currentThreatModel实现逻辑<\/h3>
predicate currentThreatModel(string kind) {
  threatModelEnabled(kind)
  or
  not knownThreatModel(kind) and threatModelEnabled("all")
}
<\/code><\/pre>
3.3 配置示例<\/h3>
# codeql-config.yml<\/span>
<\/span><\/span>threat-models<\/span>:
<\/span><\/span>  - remote       <\/span> # 启用远程威胁源<\/span>
<\/span><\/span>  - local        <\/span> # 启用本地威胁源<\/span>
<\/span><\/span>  - commandargs  <\/span> # 启用命令行参数<\/span>
<\/span><\/span>  - environment  <\/span> # 启用环境变量<\/span>
<\/span><\/span>  - file         <\/span> # 启用文件源<\/span>
<\/span><\/span>  - database     <\/span> # 启用数据库源<\/span>
<\/span><\/span><\/code><\/pre>四、Spring框架Source点分析<\/h2>
4.1 Spring控制器相关类定义<\/h3>
4.1.1 Controller注解识别<\/h4>
class SpringControllerAnnotation extends AnnotationType {
  SpringControllerAnnotation() {
    this.hasQualifiedName("org.springframework.stereotype", "Controller")
    or
    this.getAnAnnotation().getType() instanceof SpringControllerAnnotation
  }
}
<\/code><\/pre>
4.1.2 Controller类识别<\/h4>
class SpringController extends Class {
  SpringController() { 
    this.getAnAnnotation().getType() instanceof SpringControllerAnnotation 
  }
}
<\/code><\/pre>
4.1.3 Controller方法识别<\/h4>
abstract class SpringControllerMethod extends Method {
  SpringControllerMethod() { 
    this.getDeclaringType() instanceof SpringController 
  }
}
<\/code><\/pre>
4.2 SpringRequestMappingParameter污点分析<\/h3>
4.2.1 isTaintedInput核心逻辑<\/h4>
predicate isTaintedInput() {
  this.isExplicitlyTaintedInput()
  or
  not this.isNotDirectlyTaintedInput()
}
<\/code><\/pre>
4.2.2 明确的用户输入（显式taint）<\/h4>

参数类型为InputStream或Reader<\/strong>：可直接读取请求体内容<\/li>
特定注解标记的参数<\/strong>（SpringServletInputAnnotation）：

@RequestParam<\/code><\/li>
@RequestBody<\/code><\/li>
@RequestHeader<\/code><\/li>
@CookieValue<\/code><\/li>
@PathVariable<\/code><\/li>
<\/ul>
<\/li>
参数类型为HttpEntity<\/strong>：包含请求体和头部信息<\/li>
参数上有@RequestAttribute或@SessionAttribute<\/strong><\/li>
<\/ol>
4.2.3 隐式的用户输入（隐式taint）<\/h4>

非特殊类型参数<\/strong>：不在排除列表中的参数<\/li>
基本类型参数<\/strong>：视为隐式@RequestParam<\/code><\/li>
复杂对象参数<\/strong>：视为隐式@ModelAttribute<\/code><\/li>
<\/ol>
4.2.4 例外情况（不视为taint）<\/h4>
以下类型的参数不会被标记为污点源：<\/p>



参数类型<\/th>
说明<\/th>
<\/tr>
<\/thead>


ServletRequest\/Response<\/td>
请求响应对象<\/td>
<\/tr>

HttpSession<\/td>
会话对象<\/td>
<\/tr>

Principal<\/td>
认证主体<\/td>
<\/tr>

Locale\/TimeZone\/ZoneId<\/td>
国际化时区对象<\/td>
<\/tr>

OutputStream\/Writer<\/td>
输出流对象<\/td>
<\/tr>

RedirectAttributes<\/td>
重定向属性<\/td>
<\/tr>

Errors<\/td>
错误验证对象<\/td>
<\/tr>

Pageable\/Model\/ModelMap<\/td>
Spring特定对象<\/td>
<\/tr>
<\/tbody>
<\/table>
五、实战应用与测试<\/h2>
5.1 Source点定义方式<\/h3>
5.1.1 使用官方默认规则<\/h4>
predicate isSource(DataFlow::Node src) { 
  src instanceof ActiveThreatModelSource 
}
<\/code><\/pre>
5.1.2 自定义Spring参数规则<\/h4>
predicate isSource(DataFlow::Node src) { 
  src.asParameter() = any(SpringRequestMappingParameter srmp | srmp.isTaintedInput())
}
<\/code><\/pre>
5.2 库模型与框架检测结合<\/h3>
CodeQL采用双重检测策略：<\/p>

库模型检测<\/strong>：对ServletRequest.getParameter()<\/code>等通用节点定义<\/li>
框架特定检测<\/strong>：对Spring等框架的特殊场景定义<\/li>
<\/ol>
5.3 常见问题与解决方案<\/h3>
5.3.1 ServletRequest处理<\/h4>
问题：高版本Jakarta Servlet API兼容性

解决方案：更新库模型定义，支持新旧版本<\/p>
5.3.2 基本类型误报<\/h4>
问题：int等基本类型可能产生误报

解决方案：通过净化流(isBarrier)进行过滤<\/p>
5.3.3 RPC场景覆盖<\/h4>
问题：现有规则对RPC场景支持不足

解决方案：自定义RPC框架的Source点定义<\/p>
六、总结与最佳实践<\/h2>
6.1 核心要点总结<\/h3>

威胁模型配置<\/strong>：通过currentThreatModel<\/code>控制激活的Source类型<\/li>
多层次检测<\/strong>：结合通用库模型和框架特定检测<\/li>
精细化的污点判断<\/strong>：Spring参数的isTaintedInput<\/code>实现细致入微<\/li>
<\/ol>
6.2 企业级应用建议<\/h3>

规则定制<\/strong>：根据企业技术栈自定义Source点规则<\/li>
持续优化<\/strong>：关注官方更新，及时修复已知问题<\/li>
多框架支持<\/strong>：扩展支持Dubbo、gRPC等RPC框架<\/li>
误报处理<\/strong>：建立完善的净化流体系，减少误报<\/li>
<\/ol>
6.3 未来发展展望<\/h3>

更多框架支持<\/strong>：覆盖微服务、云原生等新兴框架<\/li>
智能分析<\/strong>：结合机器学习优化污点分析准确性<\/li>
生态整合<\/strong>：与CI\/CD、IDE等开发工具深度集成<\/li>
<\/ol>
通过深入理解CodeQL的Source点实现逻辑和Spring框架的污点分析机制，可以构建更加准确和高效的安全检测体系，为企业应用安全提供有力保障。<\/p>

参数类型<\/th>	说明<\/th> <\/tr> <\/thead>
ServletRequest\/Response<\/td>	请求响应对象<\/td> <\/tr>
HttpSession<\/td>	会话对象<\/td> <\/tr>
Principal<\/td>	认证主体<\/td> <\/tr>
Locale\/TimeZone\/ZoneId<\/td>	国际化时区对象<\/td> <\/tr>
OutputStream\/Writer<\/td>	输出流对象<\/td> <\/tr>
RedirectAttributes<\/td>	重定向属性<\/td> <\/tr>
Errors<\/td>	错误验证对象<\/td> <\/tr>
Pageable\/Model\/ModelMap<\/td>	Spring特定对象<\/td> <\/tr> <\/tbody> <\/table> 五、实战应用与测试<\/h2> 5.1 Source点定义方式<\/h3> 5.1.1 使用官方默认规则<\/h4> predicate isSource(DataFlow::Node src) { src instanceof ActiveThreatModelSource } <\/code><\/pre> 5.1.2 自定义Spring参数规则<\/h4> predicate isSource(DataFlow::Node src) { src.asParameter() = any(SpringRequestMappingParameter srmp \| srmp.isTaintedInput()) } <\/code><\/pre> 5.2 库模型与框架检测结合<\/h3> CodeQL采用双重检测策略：<\/p> 库模型检测<\/strong>：对ServletRequest.getParameter()<\/code>等通用节点定义<\/li> 框架特定检测<\/strong>：对Spring等框架的特殊场景定义<\/li> <\/ol> 5.3 常见问题与解决方案<\/h3> 5.3.1 ServletRequest处理<\/h4> 问题：高版本Jakarta Servlet API兼容性解决方案：更新库模型定义，支持新旧版本<\/p> 5.3.2 基本类型误报<\/h4> 问题：int等基本类型可能产生误报解决方案：通过净化流(isBarrier)进行过滤<\/p> 5.3.3 RPC场景覆盖<\/h4> 问题：现有规则对RPC场景支持不足解决方案：自定义RPC框架的Source点定义<\/p> 六、总结与最佳实践<\/h2> 6.1 核心要点总结<\/h3> 威胁模型配置<\/strong>：通过currentThreatModel<\/code>控制激活的Source类型<\/li> 多层次检测<\/strong>：结合通用库模型和框架特定检测<\/li> 精细化的污点判断<\/strong>：Spring参数的isTaintedInput<\/code>实现细致入微<\/li> <\/ol> 6.2 企业级应用建议<\/h3> 规则定制<\/strong>：根据企业技术栈自定义Source点规则<\/li> 持续优化<\/strong>：关注官方更新，及时修复已知问题<\/li> 多框架支持<\/strong>：扩展支持Dubbo、gRPC等RPC框架<\/li> 误报处理<\/strong>：建立完善的净化流体系，减少误报<\/li> <\/ol> 6.3 未来发展展望<\/h3> 更多框架支持<\/strong>：覆盖微服务、云原生等新兴框架<\/li> 智能分析<\/strong>：结合机器学习优化污点分析准确性<\/li> 生态整合<\/strong>：与CI\/CD、IDE等开发工具深度集成<\/li> <\/ol> 通过深入理解CodeQL的Source点实现逻辑和Spring框架的污点分析机制，可以构建更加准确和高效的安全检测体系，为企业应用安全提供有力保障。<\/p>

CodeQL中Source点实现逻辑与Spring框架污点源分析<\/h1>

一、Source点基础概念<\/h2>

二、官方基础Source实现<\/h2>

三、威胁模型配置系统<\/h2>

四、Spring框架Source点分析<\/h2>

4.1 Spring控制器相关类定义<\/h3>

4.2 SpringRequestMappingParameter污点分析<\/h3>

五、实战应用与测试<\/h2>

5.1 Source点定义方式<\/h3>

5.3 常见问题与解决方案<\/h3>

5.3.1 ServletRequest处理<\/h4> 问题：高版本Jakarta Servlet API兼容性 解决方案：更新库模型定义，支持新旧版本<\/p>

5.3.2 基本类型误报<\/h4> 问题：int等基本类型可能产生误报 解决方案：通过净化流(isBarrier)进行过滤<\/p>

5.3.3 RPC场景覆盖<\/h4> 问题：现有规则对RPC场景支持不足 解决方案：自定义RPC框架的Source点定义<\/p>

六、总结与最佳实践<\/h2>

5.3.1 ServletRequest处理<\/h4>
问题：高版本Jakarta Servlet API兼容性
解决方案：更新库模型定义，支持新旧版本<\/p>

5.3.2 基本类型误报<\/h4>
问题：int等基本类型可能产生误报
解决方案：通过净化流(isBarrier)进行过滤<\/p>

5.3.3 RPC场景覆盖<\/h4>
问题：现有规则对RPC场景支持不足
解决方案：自定义RPC框架的Source点定义<\/p>