GitHub 코드 스캔 엔진, 코드큐엘(CodeQL) 2.23.9 출시
GitHub 코드 스캔(Code Scanning)의 정적 분석 엔진인 코드큐엘(CodeQL) 2.23.9 버전 출시
사용자 대상의 CLI(Command Line Interface) 변경 사항 및 쿼리 변경 사항은 미존재
Kotlin 1.6 및 1.7 버전 지원 중단 예정이며, 2026년 2월 출시 예정인 2.24.1 버전부터 Kotlin 1.8 이상 사용 필요
코드큐엘(CodeQL)의 역할
코드큐엘(CodeQL)은 깃허브(GitHub) 코드 스캔(Code Scanning)의 핵심 엔진으로, 코드 내 보안 취약점(Security Vulnerabilities)을 찾아내고 수정하는 역할을 수행한다.
정적 분석(Static Analysis): 소스 코드(Source Code)를 실행하지 않고 분석하여 잠재적 문제점 식별
쿼리(Query) 기반 분석: SQL과 유사한 쿼리 언어를 사용하여 코드베이스(Codebase)를 탐색하고 패턴 매칭
자동화된 보안 검사: 개발 프로세스(Development Process)에 통합되어 지속적인 보안 검사 수행
코드큐엘(CodeQL)은 DevSecOps(DevSecOps) 환경 구축에 필수적인 도구이다.
Kotlin 버전 지원 중단의 영향
코드큐엘(CodeQL) 2.24.1 버전부터 Kotlin 1.6 및 1.7 버전 지원이 중단됨에 따라, 해당 버전을 사용하는 프로젝트는 코드큐엘(CodeQL) 사용에 제약이 발생한다.
호환성 문제: 구형 Kotlin 버전(Older Kotlin Version) 사용 시 데이터베이스 추출 불가
마이그레이션 필요: Kotlin 1.8 이상으로 업그레이드(Upgrade)하여 코드큐엘(CodeQL) 사용 지속
장기적 영향: Kotlin 생태계(Kotlin Ecosystem) 변화에 따라 코드큐엘(CodeQL) 쿼리(Query) 업데이트 필요
결과적으로, 최신 버전의 Kotlin을 사용하는 것이 코드큐엘(CodeQL)의 최신 기능(Latest Features) 및 보안 업데이트(Security Updates)를 활용하는 데 유리하다.
GitHub Enterprise Server(GHES)와의 통합
코드큐엘(CodeQL) 2.23.9 버전은 깃허브 엔터프라이즈 서버(GitHub Enterprise Server, GHES)에도 적용될 예정이며, 기존 GHES 사용자는 수동 업데이트를 통해 최신 버전을 사용할 수 있다.
자동 배포: 깃허브닷컴(github.com) 사용자에게는 자동으로 업데이트(Automatic Update) 배포
수동 업데이트: 구형 GHES 사용자(Older GHES Users)는 수동 업데이트(Manual Update)를 통해 최신 기능 사용 가능
보안 강화: 최신 코드큐엘(CodeQL) 버전은 새로운 보안 취약점(New Security Vulnerabilities) 탐지 및 대응
GHES 사용자는 최신 코드큐엘(CodeQL) 버전을 유지하여 보안(Security) 및 성능(Performance) 향상을 기대할 수 있다.
