CodeQL 2.25.6, Swift 6.3.2 지원 및 C# 커버리지 확대

이번 릴리스는 최신 언어 버전 지원 확대에 초점을 맞추고 있음. 특히 Swift 6.3.2 지원은 해당 언어 생태계의 최신 기능을 활용하는 개발자들에게 직접적인 이점을 제공함. 또한, C# 14 및 .NET 10에 대한 완전한 지원은 해당 플랫폼을 사용하는 기업들의 코드베이스 전반에 걸쳐 보안 취약점 탐지(Security Vulnerability Detection)의 정확성을 높이는 데 기여함. 이는 정적 분석 도구가 최신 기술 트렌드를 따라가는 것의 중요성을 보여줌.

CodeQL 2.25.6은 민감 데이터 탐지(Sensitive Data Detection) 휴리스틱(Heuristics)을 개선하여, 비밀번호나 개인 데이터 처리 패턴을 더 효과적으로 식별함. 특히 JavaScript/TypeScript, Python, Swift, Rust 등 여러 언어에서 기존 패턴의 변형(Variations)까지 탐지할 수 있게 됨. 이는 `js/clear-text-logging`과 같은 쿼리에서 실양성(True Positive) 결과를 증가시키고 오탐(False Positive)을 감소시켜 개발자가 보안 문제에 더 집중할 수 있도록 지원함.

이번 업데이트는 GitHub Actions와의 통합을 강화하여 코드 스캐닝 워크플로우(Code Scanning Workflow)의 효율성을 높임. `actions/untrusted-checkout` 쿼리는 이제 체크아웃 시점에서 경고를 발생시켜 보안 위험을 조기에 인지하도록 함. 또한, `actions/unpinned-tag` 쿼리는 64자리 SHA-256 커밋 해시를 인식하여 고정되지 않은 태그(Unpinned Tag)로 인한 잠재적 위험을 줄임. 이는 지속적인 통합/배포(CI/CD) 파이프라인의 보안 강화에 직접적으로 기여함.

C/C++ 언어의 경우, `scanf_s`와 같은 안전하지 않은 함수(Unsafe Functions)에 대한 흐름 소스 모델(Flow Source Model)을 추가하여 메모리 관련 취약점 탐지를 강화함. Java와 Kotlin에서는 `org.apache.avro` 라이저에 대한 소스 및 싱크 모델을 추가하여, 데이터 직렬화 및 역직렬화(Data Serialization/Deserialization) 과정에서의 잠재적 보안 문제를 식별하는 데 도움을 줌. 이러한 개선은 CodeQL이 다양한 프로그래밍 언어와 라이브러리에서 보안 위협을 탐지하는 능력을 지속적으로 확장하고 있음을 보여줌.

CodeQL 2.25.6의 새로운 기능은 github.com 사용자에게는 자동으로 배포되지만, GitHub Enterprise Server(GHES) 사용자에게는 향후 릴리스에 포함될 예정임. 이는 GHES 사용자가 최신 보안 분석 기능을 활용하기 위해 버전 업그레이드를 계획해야 함을 시사함. 구형 GHES 버전을 사용하는 경우, 수동으로 CodeQL 버전을 업그레이드하여 최신 보안 위협에 대비할 필요가 있음. 이는 온프레미스 환경에서의 보안 도구 관리 중요성을 강조함.