Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Découvrez comment CodeQL permet de réduire la surface d’attaque pour Windows en garantissant que les pilotes tiers répondent à des normes de sécurité élevées. Cet article explique les avantages de l’utilisation de CodeQL pour la conformité WHCP.
L’une des étapes de définition de cette barre de sécurité est l’exigence du Programme de compatibilité matérielle Windows (WHCP) qui indique que toutes les soumissions de pilotes doivent utiliser le moteur CodeQL sur le code source du pilote et corriger les violations jugées obligatoires.
Présentation des concepts codeQL
CodeQL est un moteur d’analyse statique utilisé par les développeurs pour effectuer une analyse de sécurité sur le code en dehors d’un environnement actif.
CodeQL ingère du code pendant la compilation et génère une base de données à partir de celle-ci. La base de données devient un répertoire contenant des données interrogeables, une référence source et des fichiers journaux. Une fois la base de données générée, vous pouvez exécuter une analyse sur celle-ci en utilisant des requêtes CodeQL (également appelées vérifications ou règles) qui déterminent si le code source contient des violations ou des vulnérabilités de sécurité.
CodeQL fournit une bibliothèque de requêtes standard qui vérifient l’exactitude et la sémantique du langage, offrant une grande valeur aux développeurs qui souhaitent s’assurer que leur code est exempt de bogues et de vulnérabilités.
CodeQL offre également la possibilité de générer des requêtes personnalisées.
Pour en savoir plus sur l’écriture de requêtes personnalisées, consultez Écriture de requêtes dans la documentation CodeQL.
CodeQL fournit également un outil en ligne de commande CodeQL (CLI) pour effectuer des actions CodeQL ou une analyse à grande échelle.
Trouvez une documentation supplémentaire du CLI de CodeQL dans CodeQL Getting Started.
Comment CodeQL améliore la sécurité des pilotes
CodeQL, par GitHub, est un puissant moteur d’analyse de code sémantique et la combinaison d’une suite étendue de requêtes de sécurité à haute valeur, ainsi qu’une plateforme robuste, ce qui en fait un outil précieux pour sécuriser le code de pilote.
L’utilisation de CodeQL pour les tests WHCP est autorisée sous le contrat de licence de l’utilisateur final du Kit de laboratoire matériel (HLK).
Pour les participants WHCP, le CLUF de HLK remplace les conditions générales CodeQL de GitHub en indiquant que CodeQL peut être utilisé pendant l’analyse automatisée, CI ou CD, dans le cadre de processus d’ingénierie normaux pour l’analyse des pilotes à soumettre et à certifier dans le cadre du WHCP.
Le test du logo Static Tools impose cette exigence pour analyser le code source du pilote et corriger les violations impératives *Must-Fix.
Important
Le programme de compatibilité matérielle Windows nécessite codeQL pour les tests STL (Static Tool Logo) sur nos systèmes d’exploitation client et serveur. Nous continuerons à maintenir la prise en charge du SDV et de la CA pour les anciens produits. Nous encourageons fortement les partenaires à passer en revue les exigences CodeQL pour le test du logo de l’outil statique.
CLUF HLK et CodeQL
L’utilisation de CodeQL à des fins de certification pour le test du programme de compatibilité matérielle Windows est acceptable dans le cadre du contrat de licence utilisateur final du Kit de laboratoire matériel (HLK ).
Pour les participants WHCP, le CLUF de HLK remplace les conditions générales codeQL de GitHub, ce qui permet à CodeQL d’être utilisé pendant l’analyse automatisée, CI ou CD dans le cadre de processus d’ingénierie normaux pour analyser les pilotes soumis pour la certification WHCP.
Pour ceux qui suivent pour une utilisation générale, lisez les conditions générales gitHub CodeQL et/ou contactez CodeQL.