Nachdem Github die freie Verfügbarkeit des statischen Codeanalyse-Werkzeugs CodeQL für Open-Source-Software gestattet, hat Mozilla nun CodeQL-Datenbanken für seinen Firefox-Browser zusammengestellt, die Bug-Jägern ihre Analyse erleichtern sollen.
Die statischen Analyseabfragen die mit CodeQL geschrieben werden behandeln und analysieren Code wie herkömmliche Daten, was es ermöglicht, durch entsprechende Queries verschiedene Varianten von Bugs im Code zu entdecken. Github stellt die CodeQL-Engine pen-Source-Projekten zur Analyse ihrer Software zur freien Verfügung.
Mozilla nutzt CodeQL selbst und nimmt mit der Bereitstellung von CodeQL-Datenbanken für die Firefox-Versionen ab 68 bis zur aktuellen Ausgabe den Bug-Jägern Arbeit ab. Die Erstellung solcher Datenbanken für Firefox könne eine zeitraubende Arbeit sein, so Mozilla in einem Blogbeitrag. Insbesondere ältere Versionen von Firefox seien wegen Änderungen in der Toolchain oft schwer zu bauen. Deshalb habe man nun entsprechende Datenbanken für Firefox auf Amazon S3 bereitgestellt. Mozilla zahlt Prämien für das Auffinden von Bugs in Firefox über die CodeQL-Queries. as gilt auch für Fehler in älteren Versionen, heißt es im Beitrag. Dort sind alle nötigen Informationsquellen verlinkt.
