CodeQL 2.25.5 が GitHub Actions のクエリ精度を向上
GitHub は CodeQL 2.25.5 をリリースし、C/C++ や Java/Kotlin の誤検知を削減するとともに、GitHub Actions のセキュリティスキャン精度を大幅に向上させた。
キーポイント
GitHub Actions スキャンの強化
poisonable_steps モデリングが拡張され、Python モジュールや go run を含む追加的なシンクを検出可能になり、composite action メタデータも解析対象に組み込まれた。
誤検知(False Positives)の削減
C/C++ の清書伝送や Java/Kotlin の Zip Slip 関連クエリが、読み取り専用パスへのアクセスを検出対象から除外し、開発者のノイズを軽減した。
Java/Kotlin の詳細なモデル化
Models-as-Data 行に対する新しいシンク種別「path-injection[read]」を導入し、読み取り専用と危険な操作を明確に区別できるようになった。
クエリ命名とドキュメントの改善
untrusted-checkout 関連クエリのヘルプ記述が修正され、高リスクシナリオが特権コンテキストで実行される部分をより明確に示すように名称変更された。
影響分析・編集コメントを表示
影響分析
このアップデートは、DevSecOps プロセスにおける静的解析の信頼性を高め、開発者がセキュリティアラートに費やす時間を削減する効果があります。特に GitHub Actions の複雑化に伴う検出漏れや誤報を減らすことで、CI/CD パイプライン全体のセキュリティ強度が向上します。
編集コメント
セキュリティスキャンの精度向上は、開発フローを阻害するノイズ削減に直結するため、現場の生産性向上に寄与する重要なアップデートです。特にアクションファイルのメタデータ解析追加は、モダンな GitHub Actions の利用形態に対応した必然的な進化と言えます。
CodeQL は、コード内のセキュリティ問題を発見し修正するための GitHub コードスキャンの背後にある静的解析エンジンです。このたび CodeQL 2.25.5 をリリースしました。これにより、C/C++、Java/Kotlin、および GitHub Actions のクエリにおいて精度が向上しています。
言語およびフレームワークのサポート
Java/Kotlin
Models-as-Data(データとしてのモデル)の行に対して、パスからの読み取りのみを行う新しいシンク種別 path-injection[read] を導入しました。これにより、クエリは読み取り専用のパスシンクとより危険なシンクを区別できるようになります。
GitHub Actions
poisonable_steps(汚染可能なステップ)のモデリングを拡張し、Python モジュール経由で実行されるスクリプトやディレクトリ内の go run などの追加シンクを検出できるようにしました。
クエリの変更
C/C++
cpp/cleartext-transmission クエリは、入力元がソケットではない場合に fscanf(およびその派生)への呼び出しに対してアラートを発生しなくなりました。これにより誤検知が減少します。
Java/Kotlin
java/zipslip クエリは、ClassLoader.getResource、FileInputStream、FileReader などの読み取り専用パスシンクにのみ流れるアーカイブエントリー名を報告しなくなりました。これにより誤検知が減少します。
GitHub Actions
actions/unpinned-tag クエリは、ワークフローファイルに加えて、コンポジットアクションのメタデータ(action.yml および action.yaml ファイル)も解析するようになり、より包括的な検出が可能になりました。
また、actions/untrusted-checkout/critical、actions/untrusted-checkout/high、および actions/untrusted-checkout/medium の各クエリに対するヘルプファイルの説明を修正しました。
actions/untrusted-checkout/high の名前を、シナリオのどの部分が特権コンテキストで実行されるかをより明確に説明できるように変更しました。
変更点の完全なリストについては、バージョン 2.25.5 の完全なチェンジログをご参照ください。CodeQL の新バージョンはすべて自動的に github.com 上の GitHub コードスキャン利用者へデプロイされます。また、CodeQL 2.25.5 の新機能は、GitHub Enterprise Server (GHES) リリース 3.22 にも含まれます。もし GHES の旧バージョンを使用している場合は、手動で CodeQL のバージョンをアップグレードすることができます。
「CodeQL 2.25.5 が GitHub Actions に対するクエリの精度を向上」の記事は、The GitHub Blog で最初に公開されました。
原文を表示
CodeQL is the static analysis engine behind GitHub code scanning, which finds and remediates security issues in your code. We’ve recently released CodeQL 2.25.5, which includes accuracy improvements across C/C++, Java/Kotlin, and GitHub Actions queries.
Language and framework support
Java/Kotlin
We’ve introduced a new sink kind, path-injection[read], for Models-as-Data rows that only read from a path (such as ClassLoader.getResource, FileInputStream, and FileReader). This helps queries distinguish read-only path sinks from more dangerous ones.
GitHub Actions
We’ve extended the poisonable_steps modeling to detect additional sinks, including scripts executed via Python modules and go run in directories.
Query changes
C/C++
The cpp/cleartext-transmission query no longer raises an alert on calls to fscanf (and variants) when the call reads from an input that isn’t a socket, reducing false positives.
Java/Kotlin
The java/zipslip query no longer reports archive entry names that flow only to read-only path sinks such as ClassLoader.getResource, FileInputStream, and FileReader, reducing false positives.
GitHub Actions
The actions/unpinned-tag query now analyzes composite action metadata (action.yml and action.yaml files) in addition to workflow files, providing more comprehensive detection.
We’ve fixed the help file descriptions for the actions/untrusted-checkout/critical, actions/untrusted-checkout/high, and actions/untrusted-checkout/medium queries.
We’ve renamed actions/untrusted-checkout/high to more clearly describe which parts of the scenario run in a privileged context.
For a full list of changes, please refer to the complete changelog for version 2.25.5. Every new version of CodeQL is automatically deployed to users of GitHub code scanning on github.com. The new functionality in CodeQL 2.25.5 will also be included in GitHub Enterprise Server (GHES) release 3.22. If you use an older version of GHES, you can manually upgrade your CodeQL version.
The post CodeQL 2.25.5 improves query accuracy for GitHub Actions appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み