코드큐엘(CodeQL) 2.25.2, 보안 취약점 분석 정확도 UP!
깃허브 코드 스캐닝(GitHub Code Scanning)의 핵심 엔진인 코드큐엘(CodeQL) 2.25.2 버전 출시
코틀린(Kotlin) 2.3.20 지원 추가 및 자바/코틀린(Java/Kotlin) 관련 오탐 감소(False Positive Reduction)
C/C++, C#, Go, Java/Kotlin, Python, Ruby, Swift, Rust 등 여러 언어의 보안 심각도 점수(Security Severity Score) 조정
깃허브(GitHub) 코드 스캐닝 사용자에게 자동 배포되며, 깃허브 엔터프라이즈 서버(GitHub Enterprise Server)에도 향후 적용 예정
코드큐엘(CodeQL)의 정적 분석(Static Analysis) 방식
코드큐엘(CodeQL)은 깃허브(GitHub)의 코드 스캐닝(Code Scanning) 기능을 뒷받침하는 정적 분석 엔진(Static Analysis Engine)이다. 소스 코드(Source Code)를 실행하지 않고 분석하여 잠재적인 보안 취약점(Security Vulnerabilities)을 탐지한다.
데이터 흐름 분석(Data Flow Analysis): 변수(Variable)의 값 흐름을 추적하여 취약한 코드 패턴(Vulnerable Code Pattern) 식별
제어 흐름 분석(Control Flow Analysis): 코드 실행 경로를 분석하여 취약점 발생 가능성(Vulnerability Occurrence) 예측
쿼리(Query) 기반 분석: 미리 정의된 쿼리(Query)를 사용하여 특정 취약점(Specific Vulnerability) 탐지 및 오탐(False Positive) 감소
코드큐엘(CodeQL)은 다양한 프로그래밍 언어(Programming Language)를 지원하며, 개발자가 직접 쿼리를 작성하여 맞춤형 분석(Custom Analysis) 수행도 가능하다.
코드큐엘(CodeQL) 2.25.2의 주요 변경 사항
코드큐엘(CodeQL) 2.25.2 버전은 코틀린(Kotlin) 2.3.20 지원 추가 및 여러 언어의 정확성 개선, 보안 심각도 점수(Security Severity Score) 조정이 이루어졌다.
코틀린(Kotlin) 지원 강화: 코틀린(Kotlin) 2.3.20 버전 분석 지원 및 자바/코틀린(Java/Kotlin) 관련 오탐(False Positive) 감소
정확성 개선: C/C++의 cpp/suspicious-add-sizeof, cpp/wrong-type-format-argument, cpp/integer-multiplication-cast-to-long 쿼리에서 오탐 감소(False Positive Reduction)
보안 심각도 점수 조정: C/C++, C#, Go, Java/Kotlin, Python, Ruby, Swift, Rust 등 여러 언어의 보안 취약점(Security Vulnerability) 심각도 재조정
코드큐엘(CodeQL) 2.25.2는 깃허브(GitHub) 코드 스캐닝(Code Scanning) 사용자에게 자동 배포되며, 깃허브 엔터프라이즈 서버(GitHub Enterprise Server)에도 향후 적용될 예정이다.
보안 심각도 점수(Security Severity Score) 조정의 의미
코드큐엘(CodeQL)은 각 보안 취약점(Security Vulnerability)에 대해 심각도 점수(Severity Score)를 부여하여 개발자가 우선순위(Priority) 기반으로 대응할 수 있도록 돕는다.
CVSS(Common Vulnerability Scoring System) 기반: CVSS 점수(CVSS Score)를 활용하여 취약점의 심각도 평가
로그 주입(Log Injection) 및 XSS(Cross-Site Scripting) 쿼리 조정: 실제 영향(Actual Impact)을 반영하여 정확한 심각도(Accurate Severity) 평가
언어별 점수 조정: C/C++, C#, Go, Java/Kotlin, Python, Ruby, Swift, Rust 등 다양한 언어의 보안 취약점(Security Vulnerability) 심각도 재조정
보안 심각도 점수(Security Severity Score) 조정은 개발자가 취약점 대응(Vulnerability Response)에 필요한 시간과 자원(Resources)을 효율적으로 분배하도록 돕는다.
코드큐엘(CodeQL) 도입 시 고려 사항
코드큐엘(CodeQL)은 강력한 정적 분석 도구(Static Analysis Tool)이지만, 도입 시 몇 가지 고려 사항이 존재한다.
쿼리(Query) 작성 및 유지보수: 맞춤형 쿼리(Custom Query) 작성 및 지속적인 유지보수 필요
오탐(False Positive) 관리: 오탐(False Positive)을 줄이기 위한 쿼리(Query) 튜닝(Tuning) 및 설정 조정
CI/CD 파이프라인(CI/CD Pipeline) 통합: 자동화된 코드 스캔(Automated Code Scan) 환경 구축 필요
깃허브(GitHub) 코드 스캐닝(Code Scanning) 활용: 깃허브(GitHub) 환경에서는 코드 스캔(Code Scan) 결과를 쉽게 확인하고 관리 가능
코드큐엘(CodeQL)을 효과적으로 활용하기 위해서는 지속적인 학습(Continuous Learning)과 쿼리(Query) 관리가 필수적이다.
