GitHubは4月15日(現地時間)、静的コード解析エンジン「CodeQL」のバージョン2.25.2を公開した。今回のリリースでは新たにKotlin 2.3.20への対応が追加されたほか、各種言語に対し解析精度の向上や誤検知の削減が図られている。
Java/Kotlinサポートでは、Kotlin 2.3.20までのバージョンの解析が可能となったほか、if条件内での境界チェックパターンにおける算術式など、一部クエリで誤検知を抑制する改善が行われた。また、「java/potentially-weak-cryptographic-algorithm」のクエリでは、楕円曲線アルゴリズム、HMACベース、PBKDF2の誤検知も削減された。
C/C++、C#などでも代表的なクエリでの誤検知抑制や整理が進められている。さらに、多言語にわたりセキュリティの深刻度スコアが見直され、XSSやログインジェクション関連クエリのスコアが実際の影響度に合わせ調整されている。
GitHubのコードスキャン利用者には自動で新バージョンが適用される。GitHub Enterprise Server利用者は手動でのアップグレードも可能だ。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
