CodeQLがGo 1.26とKotlin 2.3.10をサポートし、クエリ精度を向上
GitHubの静的解析エンジンCodeQLがバージョン2.24.2でGo 1.26とKotlin 2.3.10をサポートし、セキュリティ問題の発見精度を向上させました。
キーポイント
CodeQL 2.24.2がリリースされ、Go 1.26とKotlin 2.3.10のサポートを追加
コードスキャンの精度向上のための改善が含まれる
Azure SDKのリクエストフォージェリーモデルが追加され、セキュリティ分析が強化
正規表現マッチングの検証方法が拡張され、SSRFやパスインジェクションなどのクエリの精度向上
影響分析・編集コメントを表示
影響分析
このアップデートにより、GoとKotlinの最新バージョンでのセキュリティ脆弱性検出が可能になり、開発者のコード品質向上に寄与する。特にAzure SDKのセキュリティモデル追加は、クラウドネイティブ開発におけるセキュリティ強化につながる。
編集コメント
GitHubのコードスキャン機能の基盤となるCodeQLの定期的なアップデートで、言語サポートの拡充と精度向上が図られている。開発現場での実用的な価値が高いリリースと言える。
変更履歴に戻る CodeQLは、GitHubコードスキャニングを支える静的解析エンジンであり、コード内のセキュリティ問題を発見して修復します。私たちはCodeQL 2.24.2をリリースしました。このバージョンでは、Go 1.26とKotlin 2.3.10のサポートが追加され、コードスキャニング結果の精度を高める改善が含まれています。
言語とフレームワークのサポート
解析用にGo 1.26がサポートされました。
解析用にKotlinバージョン2.3.10までがサポートされました。
Azure SDK用のリクエストフォージェリシンクモデルを追加しました。
cs/web/missing-token-validation
[ValidateAntiForgeryToken]
[AutoValidateAntiforgeryToken]
文字列が正規表現に一致することを確認するより多くの方法を、さまざまなクエリのサニタイザーとして考慮するようになりました。これには以下が含まれます:
java/ssrf
java/path-injection
java/log-injection
@javax.validation.constraints.Pattern
変更点の完全なリストについては、バージョン2.24.2の完全な変更履歴を確認してください。CodeQLのすべての新しいバージョンは、github.com上のGitHubコードスキャニングユーザーに自動的にデプロイされます。CodeQL 2.24.2の新機能は、今後のGitHub Enterprise Server(GHES)リリースにも含まれる予定です。古いバージョンのGHESを使用している場合は、CodeQLバージョンを手動でアップグレードできます。
原文を表示
Back to changelog CodeQL is the static analysis engine behind GitHub code scanning, which finds and remediates security issues in your code. We’ve released CodeQL 2.24.2, which adds support for Go 1.26 and Kotlin 2.3.10 and includes improvements that enhance the accuracy of your code scanning results.
Language and framework support
Go 1.26 is now supported for analysis.
Kotlin versions up to 2.3.10 are now supported for analysis.
We’ve added request forgery sink models for the Azure SDK.
The cs/web/missing-token-validation
[ValidateAntiForgeryToken]
[AutoValidateAntiforgeryToken]
We now consider more ways of checking that a string matches a regular expression as sanitizers for various queries, including java/ssrf
java/path-injection
java/log-injection
@javax.validation.constraints.Pattern
Check out the complete changelog for version 2.24.2 for a full list of changes. Every new version of CodeQL is automatically deployed to users of GitHub code scanning on github.com. The new functionality in CodeQL 2.24.2 will also be included in a future GitHub Enterprise Server (GHES) release. If you use an older version of GHES, you can manually upgrade your CodeQL version.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み