GitHubは5月8日(現地時間)、静的解析エンジン「CodeQL」の最新版となる2.25.3をリリースした。
今回のアップデートでは、多言語対応の拡充やクエリ精度の向上が行われている。主な変更点として、Swift 6.3のアプリの解析が新たにサポートされたほか、PythonにおいてはPEP-810に準拠した新しい「lazy import」構文が抽出対象となった。
JavaおよびKotlinでは、「java/xxe」と「java/xxe-local」クエリがWoodstox StAXライブラリの検知に対応し、C/C++では5つのクエリがデフォルトのコードスキャン・クエリ群に昇格されたほか、「aligned_alloc」系関数の扱いが改善された。C#では「cs/useless-tostring-call」クエリの誤検知が抑制され、JavaScript/TypeScript、Pythonでもそれぞれクエリの精度や検知範囲が向上している。
GitHub Actions関連のクエリでは、警告内容の明確化や誤検知抑制が進められた。今回のアップデートは、GitHub.comのCodeQLユーザーに自動で提供され、GitHub Enterprise Server 3.22にも搭載予定となっている。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
