CodeQL是GitHub代码扫描背后的静态分析引擎,它可以发现并修复代码中的安全问题。我们最近发布了CodeQL 2.25.5,其中包括C/C + +、Java/Kotlin和GitHub Actions查询的准确性改进。我们为仅从路径读取的Models-as-Data行(例如ClassLoader.getResource、FileInputStream和FileReader )引入了一种新的sink类型,即路径注入[read]。
这有助于查询区分只读路径接收器和更危险的路径接收器。我们扩展了poisonable_steps建模以检测其他接收器,包括通过Python模块执行并在目录中运行的脚本。当调用从非套接字的输入读取时, cpp/cleartext-transmission查询不再对fscanf (和变体)的调用发出警报,从而减少误报。
Java/zipslip查询不再报告仅流向只读路径接收器(如ClassLoader.getResource、FileInputStream和FileReader )的存档条目名称,从而减少误报。action/unpinned-tag查询现在分析复合操作元数据( action.yml和action.yaml文件)以及工作流文件,提供更全面的检测。
我们已修复了操作/untrusted-checkout/critical、操作/untrusted-checkout/high和操作/untrusted-checkout/medium查询的帮助文件描述。我们已将ACTIONS/untrusted-checkout/high重命名为,以更清楚地描述场景的哪些部分在特权上下文中运行。有关更改的完整列表,请参阅2.25.5版的完整更新日志。
CodeQL的每个新版本都会自动部署到github.com上的GitHub代码扫描用户。CodeQL 2.25.5中的新功能也将包含在GitHub Enterprise Server (GHES)版本3.22中。如果您使用旧版本的GHES,则可以手动升级CodeQL版本。CodeQL是GitHub代码扫描背后的静态分析引擎,它可以发现并修复代码中的安全问题。