CodeQL 2.25.0がSwift 6.2.4のサポートを追加
GitHubの静的解析エンジンCodeQL 2.25.0がSwift 6.2.4のサポートを追加し、Java制御フローグラフの書き直し、C# 14部分コンストラクタのサポートなど、複数言語での改善を実施した。
キーポイント
Swift 6.2.4サポートの追加
CodeQLがSwift 6.2.4で構築されたアプリの解析をサポートするようになり、最新のSwift開発環境でのセキュリティ分析が可能になった。
Java制御フローグラフの完全書き直し
Javaの制御フローグラフ実装を完全に書き直し、追加ノードを含めて特定の構文をより正確に表現し、エントリポイントから到達可能なノードのみを含めることで分析精度を向上させた。
C#とJavaScript/TypeScriptの機能拡張
C# 14部分コンストラクタのサポートを追加し、WebSocket接続からの汚染検出を改善。また、ブラウザ環境のソースをモデル化するためのブラウザ固有のソース種別を追加した。
自動デプロイとエンタープライズ対応
新バージョンはGitHubコードスキャンユーザーに自動デプロイされ、将来のGitHub Enterprise Serverリリースにも含まれる予定で、既存ユーザーは手動アップグレードも可能。
影響分析・編集コメントを表示
影響分析
このアップデートは、GitHubのコードスキャンニングを利用する開発者にとって実用的な価値が高く、特にSwift 6.2.4や最新のJava/C#開発環境でのセキュリティ脆弱性検出能力が向上する。複数言語にわたる改善は、多言語開発プロジェクトのセキュリティ品質向上に寄与し、開発現場での適用可能性が高い。
編集コメント
開発者向けの実用的なアップデートで、特にSwift開発者にとっては最新環境でのセキュリティ分析が可能になる点が価値がある。複数言語への対応拡充は、現代的な多言語開発プロジェクトのニーズに応えるものだ。
CodeQL は、GitHub コードスキャニングを支える静的解析エンジンであり、コード内のセキュリティ問題を発見して修正します。このたび、Swift 解析を 6.2.4 にアップグレードし、Java の制御フローグラフを書き直して精度を向上させ、各言語におけるさまざまな改善を含む CodeQL 2.25.0 をリリースしました。CodeQL 2.25.1 も利用可能ですが、軽微なバグ修正のみを含んでいます。
言語とフレームワークのサポート
Swift
CodeQL は現在、Swift 6.2.4 でビルドされたアプリの解析をサポートしています。
Java/Kotlin
Java の制御フローグラフ (CFG) の実装を完全に書き直しました。新しい CFG は、特定の構文をより正確に表現するための追加ノードを含み、エントリポイントから到達可能なノードのみを含むことで、解析精度を全体的に向上させています。
C#
C# 14 の部分コンストラクタのサポートを追加しました。
System.Net.WebSockets::ReceiveAsync をリモートフローソースとして追加し、WebSocket 接続を起点とする汚染データの検出を改善しました。
JavaScript/TypeScript
ブラウザ環境におけるソースをモデル化するため、データ拡張で使用できるブラウザ固有のソース種別 (例: browser-url-query、browser-url-fragment、browser-message-event) のサポートを追加しました。
変更点の完全なリストについては、バージョン 2.25.0 の完全な変更履歴を参照してください。CodeQL の新バージョンは、github.com の GitHub コードスキャニング ユーザーに自動的にデプロイされます。CodeQL 2.25.0 の新機能は、今後の GitHub Enterprise Server (GHES) リリースにも含まれる予定です。旧バージョンの GHES をご利用の場合は、CodeQL バージョンを手動でアップグレードできます。
投稿「CodeQL 2.25.0 adds Swift 6.2.4 support」は、The GitHub Blog で最初に公開されました。
原文を表示
CodeQL is the static analysis engine behind GitHub code scanning, which finds and remediates security issues in your code. We’ve recently released CodeQL 2.25.0, which upgrades Swift analysis to 6.2.4, rewrites the Java control flow graph for improved accuracy, and includes various other improvements across languages. CodeQL 2.25.1 is also available, but only includes minor bug fixes.
Language and framework support
Swift
CodeQL now supports analysis of apps built with Swift 6.2.4.
Java/Kotlin
We’ve completely rewritten the Java control flow graph (CFG) implementation. The new CFG includes additional nodes to more accurately represent certain constructs and only includes nodes reachable from the entry point, improving overall analysis precision.
C#
We’ve added support for C# 14 partial constructors.
We’ve added System.Net.WebSockets::ReceiveAsync as a remote flow source, improving detection of taint originating from WebSocket connections.
JavaScript/TypeScript
We’ve added support for browser-specific source kinds (e.g., browser-url-query, browser-url-fragment, and browser-message-event) that can be used in data extensions to model sources in browser environments.
For a full list of changes, please refer to the complete changelog for version 2.25.0. Every new version of CodeQL is automatically deployed to users of GitHub code scanning on github.com. The new functionality in CodeQL 2.25.0 will also be included in a future GitHub Enterprise Server (GHES) release. If you use an older version of GHES, you can manually upgrade your CodeQL version.
The post CodeQL 2.25.0 adds Swift 6.2.4 support appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み