CodeQL 2.23.0 增强安全检测,支持 Rust 日志注入
realtime news Sep 10, 2025 22:15
GitHub 的 CodeQL 2.23.0 版本引入了增强的安全检测功能,包括全新的 Rust 日志注入查询、改进的数据流分析和更快的提取过程。
GitHub 宣布发布 CodeQL 2.23.0,为其静态分析引擎带来了显著改进,该引擎对代码扫描和安全问题的修复至关重要。根据GitHub 博客,这一最新更新引入了一系列新功能,包括增强对 Rust、Java、C/C++、C# 和 Python 的支持。
增强的 Rust 安全性
CodeQL 2.23.0 中最显著的新增功能是引入了新的 Rust 日志注入检测查询,可帮助识别日志条目可能被恶意用户篡改的潜在漏洞。Rust 提取器也进行了优化,以更快和更可靠的性能改进了对 std::fs、async_std::fs 和 tokio::fs 库的建模。预计这些增强将增加与 Rust 路径注入相关警报的检测。
Java 和 C/C++ 的改进
在 Java 领域,更新将查询 java/insecure-spring-actuator-config 提升为主查询包,现更名为 java/spring-boot-exposed-actuators-config。此查询检测通过配置文件暴露的 Spring Boot 执行器,并将纳入默认扫描。此外,解决了导致 java/dereferenced-value-may-be-null 查询出现漏报的一个错误。
对于 C/C++ 开发者,CodeQL 2.23.0 引入了对 Microsoft::WRL::ComPtr 成员函数的流汇总,从而提高虚拟函数调用解析的精确度。这一改进预计将减少 C++ 项目分析中的误报。
C# 和 Python 的更新
C# 开发者将受益于数据流分析中的修复,使得通过调用使用 base 限定符的流跟踪更加准确。默认的污点跟踪配置已更新以覆盖集合的隐式读取,从而增加流覆盖率并减少漏报。
Python 查询已现代化,以生成更全面的结果,特别是在条件引发异常的情况下。更新还解决了特定于 Python 2 的警报,确保像 py/unexpected-raise-in-special-method、py/incomplete-ordering 和 py/equals-hash-mismatch 这样的查询更符合当前的 Python 版本。
部署和未来更新
CodeQL 2.23.0 中的所有新功能都会自动部署到 github.com 上的 GitHub 代码扫描用户,并将包含在未来的 GitHub 企业服务器版本中。使用旧版本 GitHub 企业服务器的用户可以手动升级以访问最新的 CodeQL 功能。
Image source: Shutterstock.jpg)