CodeQL 2.25.3 が Swift 6.3 のサポートを追加
GitHub が CodeQL 2.25.3 をリリースし、Swift 6.3 や Python 3.15 のサポートを開始するとともに、C/C++ および GitHub Actions 関連のセキュリティスキャン精度を大幅に向上させた。
キーポイント
主要言語およびフレームワークのサポート拡大
Swift 6.3 アプリケーションの静的解析に対応し、Python 3.15 の新構文(PEP-810)や Java/Kotlin の Woodstox ライブラリにおける XXE 脆弱性の検出機能を強化した。
C/C++ クエリのデフォルト化と精度向上
比較演算の型不整合、整数乗算のキャストミスなど 5 つの高精度な C/C++ クエリをデフォルトスキャンスイートに昇格させ、ビルドモード非対応データベースでのノイズを排除した。
GitHub Actions およびセキュリティクエリの改善
Artifacts 汚染やワークフロー権限に関するアラートの誤検知(False Positive)を解消し、メッセージの明確化とソース位置情報の精度を向上させた。
Swift 6.3 のサポート追加
CodeQL バージョン 2.25.3 で Swift 6.3 のサポートが正式に追加されました。
GitHub Code Scanning と GHES への展開
新機能は github.com の GitHub Code Scanning ユーザーに自動デプロイされ、GHES 3.22 リリースにも含まれます。
旧版 GHES での手動アップグレード
古いバージョンの GitHub Enterprise Server を使用している場合は、CodeQL のバージョンを手動でアップグレードする必要があります。
影響分析・編集コメントを表示
影響分析
このアップデートは、特に Swift と C/C++ を使用する大規模プロジェクトにおいて、セキュリティスキャンの信頼性と網羅性を高める重要なステップです。デフォルトクエリの強化により、従来の検出漏れだった脆弱性が自動的に発見されるようになり、DevSecOps プロセスにおける早期防御体制がさらに強化されます。
編集コメント
セキュリティツールとしての CodeQL の進化は、開発ライフサイクルの初期段階で脆弱性を排除する「シフトレフト」戦略を強力に支えるものです。特にデフォルトクエリの精度向上は、運用負荷を増やさずにセキュリティレベルを引き上げる効果的な施策と言えます。
CodeQL は、GitHub コードスキャンの背後にある静的解析エンジンであり、コード内のセキュリティ問題を発見して修正します。このたび CodeQL 2.25.3 をリリースし、Swift 6.3 のサポートを追加するとともに、5 つの C/C++ クエリをデフォルトのコードスキャンクエリスイートに昇格させ、各言語にわたる精度向上を多数含めました。
言語およびフレームワークのサポート
Swift
CodeQL は、Swift 6.3 で構築されたアプリケーションの解析をサポートするようになりました。
Python
Python エクストラクターは、Python 3.15 の一部である PEP-810 で定義された新しい遅延インポート ... および遅延 from ... import ... 構文をサポートするようになりました。
Java/Kotlin
java/xxe および java/xxe-local クエリは、Woodstox StAX ライブラリのシンク(Sink)を検出するようになり、com.ctc.wstx.stax.WstxInputFactory および org.codehaus.stax2.XMLInputFactory2 の直接使用も検知します。
C/C++
aligned_alloc、std::aligned_alloc、bsl::aligned_alloc に対する AllocationFunction モデルを追加しました。
クエリの変更
C/C++
5 つのクエリを高精度に昇格させ、デフォルトのコードスキャンクエリスイートに追加しました:
cpp/comparison-with-wider-type(ループ条件における狭い型と広い型の比較)。
cpp/integer-multiplication-cast-to-long(乗算結果がより大きな型に変換されるケース)。
cpp/suspicious-add-sizeof(sizeof による不審な加算)。
cpp/wrong-type-format-argument(フォーマット関数への引数の型が誤っているケース)。
cpp/implicit-function-declaration (関数の暗黙的宣言)。build-mode: none のデータベースの場合、このクエリはもはや結果を生成しません。これは、それらの結果がノイズが多く不正確だったためです。
C#
cs/useless-tostring-call クエリを更新し、StringBuilder.AppendLine への呼び出しおよび base.ToString() の形式の呼び出しにおける偽陽性を回避するとともに、アラートメッセージをより精密にしました。
JavaScript/TypeScript
js/missing-rate-limiting クエリは、Fastify のルートごとのレート制限も考慮するようになりました。
Python
py/bind-socket-all-network-interfaces クエリはグローバルなデータフローライブラリを使用するようになり、精度が向上してより多くの結果が得られるようになりました。また、eventlet および gevent ライブラリ内の socket.socket のラッパーもソケットバインド操作として認識します。
GitHub Actions
actions/artifact-poisoning/critical および actions/artifact-poisoning/medium クエリのアラートメッセージとソース位置を改善し、アラートを理解しやすくするとともに、信頼できない可能性のあるアーティファクトについて報告する類似のクエリとの整合性を図りました。
actions/missing-workflow-permissions クエリは、すべての呼び出し元が権限を設定している再利用可能なワークフローにおける偽陽性を生成しなくなりました。
docker/build-push-action の context 入力および step-security/harden-runner の allowed-endpoints 入力に対する偽陽性のインジェクションシンクモデルを削除しました。
完全な変更点一覧については、バージョン 2.25.3 の完全なチェンジログを参照してください。CodeQL の新バージョンはすべて自動的に github.com 上の GitHub コードスキャン利用者へデプロイされます。CodeQL 2.25.3 に含まれる新機能は、GitHub Enterprise Server (GHES) 3.22 リリースにも組み込まれます。もし GHES の古いバージョンを使用している場合は、手動で CodeQL のバージョンをアップグレードすることができます。
この投稿「CodeQL 2.25.3 が Swift 6.3 サポートを追加」は、The GitHub Blog で最初に公開されました。
原文を表示
CodeQL is the static analysis engine behind GitHub code scanning, which finds and remediates security issues in your code. We’ve recently released CodeQL 2.25.3, which adds support for Swift 6.3, promotes five C/C++ queries to the default code scanning query suite, and includes various accuracy improvements across languages.
Language and framework support
Swift
CodeQL now supports analysis of apps built with Swift 6.3.
Python
The Python extractor now supports the new lazy import ... and lazy from ... import ... syntax defined in PEP-810, which is part of Python 3.15.
Java/Kotlin
The java/xxe and java/xxe-local queries now detect sinks in the Woodstox StAX library, including direct uses of com.ctc.wstx.stax.WstxInputFactory and org.codehaus.stax2.XMLInputFactory2.
C/C++
We’ve added AllocationFunction models for aligned_alloc, std::aligned_alloc, and bsl::aligned_alloc.
Query changes
C/C++
We’ve promoted five queries to high precision and added them to the default code scanning query suite:
cpp/comparison-with-wider-type (Comparison of narrow type with wide type in loop condition).
cpp/integer-multiplication-cast-to-long (Multiplication result converted to larger type).
cpp/suspicious-add-sizeof (Suspicious add with sizeof).
cpp/wrong-type-format-argument (Wrong type of arguments to formatting function).
cpp/implicit-function-declaration (Implicit function declaration). For build-mode: none databases, this query no longer produces results, since they were noisy and imprecise.
C#
We’ve updated the cs/useless-tostring-call query to avoid false positives in calls to StringBuilder.AppendLine and in calls of the form base.ToString(), and we’ve made the alert message more precise.
JavaScript/TypeScript
The js/missing-rate-limiting query now accounts for Fastify per-route rate limiting.
Python
The py/bind-socket-all-network-interfaces query now uses the global data-flow library, leading to better precision and more results. The query also recognizes wrappers of socket.socket in the eventlet and gevent libraries as socket binding operations.
GitHub Actions
We’ve improved the alert messages and source locations for the actions/artifact-poisoning/critical and actions/artifact-poisoning/medium queries, making alerts easier to understand and aligning them with similar queries that report on potentially untrusted artifacts.
The actions/missing-workflow-permissions query no longer produces false positives on reusable workflows where all callers set permissions.
We’ve removed false positive injection sink models for the context input of docker/build-push-action and the allowed-endpoints input of step-security/harden-runner.
For a full list of changes, please refer to the complete changelog for version 2.25.3. Every new version of CodeQL is automatically deployed to users of GitHub code scanning on github.com. The new functionality in CodeQL 2.25.3 will also be included in GitHub Enterprise Server (GHES) 3.22 release. If you use an older version of GHES, you can manually upgrade your CodeQL version.
The post CodeQL 2.25.3 adds Swift 6.3 support appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み