#static analysis のAIニュース
6件の記事
NVIDIA SkillSpector ガイド:静的解析と SARIF レポートによる AI スキルのセキュリティリスクスキャン
NVIDIA は、SkillSpector を用いて実運用前の AI スキルにおけるセキュリティリスクを評価する手法を解説した。同ツールは悪意のある脆弱性を含むサンプルを用いた制御されたコーパスを静的解析し、リスクスコアと発見事項を SARIF 形式で出力・可視化する。
Go、C/C++、CodeQL CLI の増分分析機能の追加
GitHub が CodeQL スキャンに増分分析機能を導入し、C/C++ および Go プログラミング言語でのプルリクエストスキャンが高速化された。これにより、15,000 以上のリポジトリで非増分スキャンの所要時間が短縮される。
CodeQL 2.25.5 が GitHub Actions のクエリ精度を向上
GitHub はセキュリティ分析エンジン「CodeQL」のバージョン 2.25.5 をリリースし、C/C++ や Java/Kotlin、そして GitHub Actions に関するクエリの精度を改善しました。特に新機能として、パス注入の読み取りを検出する新しいシンク種別が追加されました。
GitHub コード品質:リポジトリ有効化 API の公開
GitHub が、個々のリポジトリに対してコード品質機能をプログラムで有効・無効にしたり、分析言語やランナータイプを設定したりするための新 API を公開した。
CodeQL 2.25.4 が Swift 6.3.1 をサポートし、C# と Java の分析を改善
GitHub はセキュリティスキャンエンジン「CodeQL」のバージョン 2.25.4 をリリースしました。この更新では Swift 6.3.1 の解析対応を開始し、C# および Java の分析精度を向上させました。また、Vercel サーバーレス関数へのセキュリティ分析範囲を広げ、ほぼすべての言語でデータフローバリア拡張を導入しています。
CodeQL 2.25.3 が Swift 6.3 のサポートを追加
GitHub はセキュリティスキャンエンジン「CodeQL」のバージョン 2.25.3 をリリースし、Swift 6.3 アプリの解析をサポートするとともに、C/C++ クエリの精度を向上させました。