王王
9月3日,2025年09:30
GitHub的CodeQL 2.22.4发布引入了1.25支持,生锈的新安全查询以及改进的分析精度,增强了代码扫描功能。
GitHub发布了CodeQL 2.22.4,这是其静态分析引擎的重大更新,该引擎有助于识别和解决代码中的安全漏洞。根据GitHub的说法,最新版本引入了对GO 1.25的支持,以及一套旨在提高分析功能的准确性和广度的增强功能。
语言和框架支持
CodeQL的最新版本将其支持扩展到1.25,这反映了GitHub对与不断发展的编程语言保持同步的承诺。此外,该更新为Rust提供了增强的框架支持,改进了流行库的模型,例如 postgres,,,, rusqlite,,,, sqlx, 和 tokio-postgres。这些增强功能旨在完善查询结果,尤其是与SQL注入和ClearText存储检测有关的结果。
此外,Java和Kotlin用户将从新的图书馆模型中受益 jakarta.servlet.ServletRequest 和 jakarta.servlet.http.HttpServletRequest 方法调用,扩展可用于分析的远程流源。
查询增强功能
该更新引入了针对Rust的新安全查询, rust/cleartext-storage-database,旨在识别未经加密的数据库中存储敏感数据的实例。此增加强调了Github专注于增强其代码扫描工具中的安全措施。
通过在C/C ++分析中进行了进一步的改进,并在分辨率中解决了误报 cpp/overflow-buffer 询问。当目标缓冲区类型涉及对类或结构类型的引用时,此修复程序尤其重要。对于JavaScript和Typescript, js/regex-injection 已调整查询以将环境变量作为默认来源排除。
部署和可访问性
CodeQL 2.22.4中引入的所有更改将自动用于平台上的GitHub代码扫描用户。该更新还将集成到GitHub Enterprise Server(GHES)版本3.19中。在较旧的GHE版本上运行的用户可以手动升级以利用新功能。
该版本代表了GitHub的战略步骤,以增强其代码扫描产品的安全性和可靠性,从而为开发人员提供更强大的工具,以保护其代码库免受潜在漏洞的影响。
图像来源:Shutterstock
(tagstotranslate)AI(T)加密(T)区块链(T)新闻
关键词:
