코드큐엘(CodeQL) 2.24.3 릴리스를 통해 자바(Java) 26 지원을 공식적으로 발표
자바(Java) 분석 시 메이븐(Maven) POM 파일을 기반으로 자바(Java) 버전 선택, 빌드 호환성(Build Compatibility) 향상
자바(Java) EE 패키지 모델링 확장으로 자카르타(Jakarta) 네임스페이스(Namespace) 지원 및 잠재적 경고 증가
C# 14에서 프로퍼티(Property) 내 필드 키워드(Field Keyword) 지원 추가
코드큐엘(CodeQL)은 깃허브 코드 스캐닝(GitHub Code Scanning)의 핵심 엔진으로, 코드 내 보안 취약점(Security Vulnerabilities)을 탐지하고 해결하는 데 기여한다.
정적 분석(Static Analysis): 코드를 실행하지 않고 소스 코드 자체를 분석하여 잠재적 문제점 파악
데이터 흐름 분석(Data Flow Analysis): 변수 값의 흐름을 추적하여 취약한 코드 패턴(Vulnerable Code Patterns) 식별
취약점 자동 탐지(Vulnerability Auto-Detection): CWE(Common Weakness Enumeration) 및 CVE(Common Vulnerabilities and Exposures) 기반의 취약점 자동 탐지 기능 제공
결과적으로 코드큐엘(CodeQL)은 개발 초기 단계에서 보안 결함(Security Flaws)을 발견하고, 개발자가 안전한 코드를 작성하도록 돕는다.
코드큐엘(CodeQL) 2.24.3은 자바(Java) 26을 공식 지원하며, 메이븐(Maven) 프로젝트(Project)와의 통합을 강화했다.
자바(Java) 버전 자동 선택: 메이븐(Maven) POM 파일(File)을 분석하여 프로젝트에 적합한 자바(Java) 버전을 자동으로 선택
빌드 호환성 향상: 가능한 경우 자바(Java) 17 이상을 사용하여 빌드 오류(Build Errors) 감소 및 호환성 확보
자카르타(Jakarta) 네임스페이스(Namespace) 지원: 기존 자바(Java) EE 패키지 모델링을 확장하여 자카르타(Jakarta) 네임스페이스(Namespace)를 사용하는 패키지까지 지원
이러한 개선 사항은 자바(Java) 기반 프로젝트의 코드 스캔 정확도(Code Scan Accuracy)를 높이고, 개발 생산성을 향상시킨다.
코드큐엘(CodeQL) 2.24.3은 다양한 언어 및 프레임워크(Framework)에 대한 지원을 확장하고, 새로운 쿼리를 추가했다.
자바스크립트(JavaScript)/타입스크립트(TypeScript): mobx-react 및 mobx-react-lite의 observer로 래핑된 리액트(React) 컴포넌트(Component) 지원
파이썬(Python): 새로운 AntiSSRF 라이브러리(Library)의 전체 SSRF(Server-Side Request Forgery) 위생 처리 장벽 추가
루비(Ruby): Shellwords.escape 및 Shellwords.shellescape를 통한 taint flow 추적 기능 추가
C# 14: 프로퍼티(Property) 내 field 키워드(Keyword) 지원
이러한 변화는 다양한 개발 환경에서 코드 스캔(Code Scan)의 적용 범위(Scope)를 넓히고, 보다 정확한 결과를 제공한다.
코드큐엘(CodeQL)은 깃허브 코드 스캐닝(GitHub Code Scanning) 사용자에게 자동 배포되며, 깃허브 엔터프라이즈 서버(GitHub Enterprise Server, GHES)에도 적용될 예정이다.
자동 배포(Automatic Deployment): 깃허브 코드 스캐닝(GitHub Code Scanning) 사용자는 별도의 업데이트 없이 최신 버전의 코드큐엘(CodeQL)을 사용 가능
GHES 지원: 향후 GHES 릴리스에 새로운 기능이 포함될 예정이며, 이전 버전 사용자는 수동 업데이트 가능
지속적인 개선(Continuous Improvement): 코드큐엘(CodeQL)은 지속적으로 업데이트되어 보안 취약점(Security Vulnerabilities) 탐지 능력을 향상시키고, 개발자의 코드 품질을 높인다.
결과적으로 깃허브(GitHub) 사용자들은 최신 코드큐엘(CodeQL)을 통해 더욱 안전하고 신뢰할 수 있는 코드를 개발할 수 있다.