CodeQL 2.24.3がJava 26サポートとその他の改善を追加
GitHubの静的解析エンジンCodeQL 2.24.3がJava 26のサポートを追加し、複数言語での解析精度向上や新機能対応など様々な改善を実装した。
キーポイント
Java 26サポートの追加
CodeQLが最新のJava 26をサポートし、Maven POMファイルに基づいてJavaバージョンを自動選択する機能を強化した。
複数言語での解析精度向上
JavaScript/TypeScriptではmobx-react対応、PythonではSSRF対策強化、Rubyではシェルコマンドインジェクション対策改善など、各言語で解析機能が拡張された。
Java EE/Jakarta対応の拡張
従来のjavaxパッケージだけでなく、jakarta名前空間のパッケージもモデリング対象に加え、より多くのアラートを検出可能になった。
C/C++とC#の機能強化
C/C++ではうるう年関連の誤検知を削減し、C# 14ではプロパティのfieldキーワードをサポートした。
影響分析・編集コメントを表示
影響分析
このアップデートにより、開発者は最新のJava環境でもCodeQLを活用でき、セキュリティ脆弱性の早期発見が可能になる。特に大規模なMavenプロジェクトやJakarta EE移行中のプロジェクトにとって実用的な価値が高い。
編集コメント
定期的なバージョンアップによる機能強化で、開発現場の実務ニーズに応える実用的なアップデート。特にJavaエコシステムの変化への迅速な対応が評価できる。
タイトル: CodeQL 2.24.3 が Java 26 サポートとその他の改善を追加
CodeQLは、GitHubコードスキャニングを支える静的解析エンジンであり、コード内のセキュリティ問題を発見して修正します。このたびCodeQL 2.24.3をリリースしました。本バージョンではJava 26のサポートが追加され、コードスキャニング結果の精度を向上させる様々な改善が含まれています。
言語とフレームワークのサポート
Java/Kotlin
- CodeQLがJava 26をサポートするようになりました。
- Java解析において、使用するJavaバージョンをすべてのプロジェクトモジュールにわたるMaven POMファイルに基づいて選択するようになりました。また、可能な限りすべてのMavenプロジェクトに対してビルド互換性を向上させるため、Java 17以上を使用するよう試みます。
JavaScript/TypeScript
- mobx-reactおよびmobx-react-liteの
observerでラップされたReactコンポーネントのサポートを追加しました。
クエリの変更
Python
- 新しいAntiSSRFライブラリからの、新規の完全なSSRF(Server-Side Request Forgery)サニタイゼーションバリアを追加しました。
isSafe(x)のようなガードが定義されている場合、isSafe(x) == trueおよびisSafe(x) != falseも自動的に処理するようになりました。
Ruby
- コマンドインジェクションを除くすべてのクエリについて、
Shellwords.escapeおよびShellwords.shellescapeを経由するテイントフローの追跡を追加しました。これらはコマンドインジェクションに対してはサニタイザーとして機能します。
Java/Kotlin
- 以前は
javaxで始まるJava EEパッケージに対してのみ機能していたモデリングを拡張し、jakartaで始まるパッケージもカバーするようになりました。これにより、jakarta名前空間を使用するパッケージに対するアラート数が増加する可能性があります。
Rust
- 生成されたソース、シンク、およびフローサマリーモデルが適用される場所を制御するためのニュートラルモデル(
extensible: neutralModel)のサポートを追加しました。
C/C++
cpp/leap-year/unchecked-after-arithmetic-year-modificationクエリを改善し、多数の誤検知に対処しました。
C#
- C# 14: プロパティ内の
fieldキーワードのサポートを追加しました。
変更点の完全なリストについては、バージョン2.24.3の完全な変更履歴を参照してください。CodeQLの新バージョンはすべて、github.comのGitHubコードスキャニングユーザーに自動的にデプロイされます。CodeQL 2.24.3の新機能は、今後のGitHub Enterprise Server(GHES)リリースにも含まれる予定です。旧バージョンのGHESをご利用の場合は、CodeQLバージョンを手動でアップグレードできます。
*この投稿「CodeQL 2.24.3 adds Java 26 support and other improvements」は、The GitHub Blogで最初に公開されました。*
原文を表示
CodeQL is the static analysis engine behind GitHub code scanning, which finds and remediates security issues in your code. We’ve recently released CodeQL 2.24.3, which adds support for Java 26 and includes various improvements that enhance the accuracy of your code scanning results.
Language and framework support
Java/Kotlin
CodeQL now supports Java 26.
Java analysis now selects the Java version to use based on the Maven POM files across all project modules. It also tries to use Java 17 or higher for all Maven projects if possible, for improved build compatibility.
JavaScript/TypeScript
We’ve added support for React components wrapped by observer from mobx-react and mobx-react-lite.
Query changes
Python
We’ve added a new full SSRF sanitization barrier from the new AntiSSRF library.
When a guard such as isSafe(x) is defined, we now also automatically handle isSafe(x) == true and isSafe(x) != false.
Ruby
We now track taint flow through Shellwords.escape and Shellwords.shellescape for all queries except command injection, for which they are sanitizers.
Java/Kotlin
We’ve expanded modeling that previously only worked for Java EE packages beginning with javax to also cover packages beginning with jakarta. This may lead to increased number of alerts for packages using the jakarta namespace.
Rust
We’ve added support for neutral models (extensible: neutralModel) to control where generated source, sink, and flow summary models apply.
C/C++
We’ve improved the cpp/leap-year/unchecked-after-arithmetic-year-modification query to address large numbers of false positives.
C#
C# 14: We’ve added support for the field keyword in properties.
For a full list of changes, please refer to the complete changelog for version 2.24.3. Every new version of CodeQL is automatically deployed to users of GitHub code scanning on github.com. The new functionality in CodeQL 2.24.3 will also be included in a future GitHub Enterprise Server (GHES) release. If you use an older version of GHES, you can manually upgrade your CodeQL version.
The post CodeQL 2.24.3 adds Java 26 support and other improvements appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み