CodeQL 2.23.6 添加 Swift 6.2.1 和新的 C# 安全查询

Source: GitHub Changelog

CodeQL 是 GitHub 代码扫描背后的静态分析引擎，可在代码中发现并修复安全问题。我们最近发布了 CodeQL 2.23.6，该版本新增对 Swift 6.2.1 的支持，提升了两个 C# Cookie 安全查询，并在多语言上实现了各种准确性改进。

语言和框架支持

• Swift：CodeQL 现在支持对使用 Swift 6.2.1 构建的应用进行分析。
• Rust：为 poem crate 中的 Cookie 方法添加了模型。

查询更改

C#

• cs/web/cookie-secure-not-set 和 cs/web/cookie-httponly-not-set 查询已从实验性提升至主查询包。这些查询用于检测未设置适当安全属性的 Cookie。
• 改进了 Guards 库对析取的识别，从而提升了 cs/constant-condition、cs/inefficient-containskey 和 cs/dereferenced-value-may-be-null 查询的精度。

Rust

• 为 rust/regex-injection、rust/sql-injection 和 rust/log-injection 查询添加了污点流屏障，降低了误报率。

Java/Kotlin

• 将 java/overly-large-range 和 java/insecure-cookie 的 security-severity 分数从 5.0 降至 4.0，以更准确地反映其影响。

JavaScript/TypeScript

• 将 js/xss-through-dom 的 security-severity 分数从 6.1 提升至 7.8，以与其他 XSS 查询保持一致。
• 将 js/overly-large-range 的分数从 5.0 降至 4.0。

Python

• 将 py/overly-large-range 的 security-severity 分数从 5.0 降至 4.0。

Ruby

• 将 rb/overly-large-range 的 security-severity 分数从 5.0 降至 4.0。

欲查看完整的更改列表，请参阅完整的 版本 2.23.6 更新日志。每个新版本的 CodeQL 都会自动部署到 github.com 上使用 GitHub 代码扫描的用户。CodeQL 2.23.6 的新功能也将包含在 GitHub Enterprise Server (GHES) 3.20 版本中。如果您使用的是旧版 GHES，可以 手动升级 CodeQL 版本。