CodeQL 2.25.5, GitHub Actions의 쿼리 정확도 향상

CodeQL은 GitHub 코드 스캐닝을 지원하는 정적 분석 엔진으로, 코드 내 보안 문제를 찾아내고 해결합니다. 최근에 **CodeQL 2.25.5**를 출시했으며, C/C++, Java/Kotlin, GitHub Actions 쿼리 전반에 걸쳐 정확도가 향상되었습니다.

언어 및 프레임워크 지원

Java/Kotlin

• 경로만 읽는 Models-as-Data 행에 대해 새로운 sink 종류인 path-injection[read]를 도입했습니다(예: ClassLoader.getResource, FileInputStream, FileReader). 이를 통해 쿼리가 읽기 전용 경로 sink와 보다 위험한 sink를 구분할 수 있습니다.

GitHub Actions

• poisonable_steps 모델링을 확장하여 Python 모듈을 통해 실행되는 스크립트와 디렉터리 내 go run 등 추가적인 sink를 감지하도록 했습니다.

쿼리 변경 사항

C/C++

• cpp/cleartext-transmission 쿼리는 이제 소켓이 아닌 입력에서 읽는 경우(fscanf 및 변형 호출) 경고를 발생시키지 않아, 오탐이 감소합니다.

Java/Kotlin

• java/zipslip 쿼리는 이제 ClassLoader.getResource, FileInputStream, FileReader와 같이 읽기 전용 경로 sink로만 흐르는 아카이브 엔트리 이름을 보고하지 않아, 오탐이 감소합니다.

GitHub Actions

• actions/unpinned-tag 쿼리는 워크플로 파일 외에도 복합 액션 메타데이터(action.yml 및 action.yaml 파일)를 분석하도록 업데이트되어 보다 포괄적인 탐지가 가능합니다.
• actions/untrusted-checkout/critical, actions/untrusted-checkout/high, actions/untrusted-checkout/medium 쿼리의 도움말 파일 설명을 수정했습니다.
• actions/untrusted-checkout/high를 시나리오 중 어떤 부분이 권한이 높은 컨텍스트에서 실행되는지를 보다 명확히 설명하도록 이름을 변경했습니다.

전체 변경 사항 목록은 **버전 2.25.5 전체 변경 로그**를 참고하세요. 모든 새로운 CodeQL 버전은 github.com에서 GitHub 코드 스캐닝을 사용하는 사용자에게 자동으로 배포됩니다. CodeQL 2.25.5의 새로운 기능은 GitHub Enterprise Server(GHES) 3.22 릴리스에도 포함됩니다. 이전 버전의 GHES를 사용 중이라면 **CodeQL 버전을 수동으로 업그레이드**할 수 있습니다.