코드큐엘(CodeQL) 업데이트: 스위프트(Swift) 6.3 지원 및 보안 강화

코드큐엘(CodeQL) 2.25.3 버전은 스위프트(Swift) 6.3으로 빌드된 앱 분석을 지원한다. 이는 정적 분석 엔진(Static Analysis Engine)이 최신 언어 기능을 이해하고, 잠재적인 보안 취약점을 정확하게 탐지할 수 있도록 한다. 특히, 스위프트(Swift) 언어의 변화에 발맞춰 코드 스캔(Code Scan) 기능을 업데이트함으로써, 개발자는 최신 스위프트(Swift) 코드를 안전하게 관리할 수 있다. 코드 품질(Code Quality) 향상과 더불어, 보안 취약점(Security Vulnerabilities) 조기 발견에 기여한다.

이번 업데이트에서는 C/C++ 언어에 대한 쿼리(Query)가 강화되었다. cpp/comparison-with-wider-type 등 5개의 쿼리가 기본 코드 스캔 쿼리 스위트에 추가되어, C/C++ 코드의 잠재적인 문제점을 더욱 정밀하게 분석한다. 또한, cs/useless-tostring-call 쿼리 개선을 통해 C# 코드의 오탐(False Positive)을 줄였다. 이러한 쿼리 개선은 코드 스캔 결과(Code Scan Result)의 신뢰도(Reliability)를 높이고, 개발자가 실제 문제에 집중할 수 있도록 돕는다.

코드큐엘(CodeQL)은 파이썬(Python) 3.15의 새로운 문법 지원을 통해 최신 파이썬(Python) 코드 분석 능력을 향상시켰다. 특히, lazy import ... 및 lazy from ... import ... 구문을 지원함으로써, 파이썬(Python) 코드의 정확한 분석을 가능하게 한다. 자바/코틀린(Java/Kotlin)의 경우, java/xxe 및 java/xxe-local 쿼리가 업데이트되어 Woodstox StAX 라이브러리(Library)의 취약점을 탐지한다. 이는 서드파티 라이브러리(Third-party Library)의 보안 취약점(Security Vulnerability) 관리에 기여한다.

코드큐엘(CodeQL)은 깃허브 액션(GitHub Actions) 관련 쿼리(Query)의 알림 메시지(Alert Message)와 소스 위치(Source Location)를 개선하여, 알림의 가독성(Readability)을 높였다. actions/artifact-poisoning/critical 및 actions/artifact-poisoning/medium 쿼리의 개선은 잠재적으로 신뢰할 수 없는 아티팩트(Artifact)에 대한 보고를 명확하게 한다. 또한, actions/missing-workflow-permissions 쿼리의 오탐(False Positive)을 제거하여, 개발자가 더욱 정확한 정보를 얻을 수 있도록 돕는다. 이러한 개선은 CI/CD 파이프라인(CI/CD Pipeline)의 보안(Security) 강화에 기여한다.

코드큐엘(CodeQL) 2.25.3 버전은 깃허브 코드 스캔(GitHub Code Scanning) 사용자를 위해 자동으로 배포된다. 깃허브 엔터프라이즈 서버(GitHub Enterprise Server, GHES) 3.22 릴리스에도 포함될 예정이다. 구버전의 GHES 사용자는 수동 업그레이드(Manual Upgrade)를 통해 최신 코드큐엘(CodeQL) 기능을 사용할 수 있다. 이는 보안 취약점 분석(Security Vulnerability Analysis) 도구의 지속적인 업데이트를 통해, 개발자가 안전한 코드를 작성하도록 지원한다.