GitHub 增强 CodeQL，推出 Rust 安全性改进和多语言提升

realtime news Oct 10, 2025 02:24

GitHub 的 CodeQL 2.23.2 更新引入了增强的 Rust 安全检测，并提高了包括 JavaScript、Python、Ruby 和 Go 在内的多种编程语言的准确性。

GitHub 发布了 CodeQL 2.23.2，这是为其平台上的代码扫描提供动力的静态分析引擎的一次重大更新。根据GitHub 博客的信息，最新版本引入了 Rust 的新安全检测，并提高了多种编程语言的准确性。

CodeQL 2.23.2 的关键增强

CodeQL 2.23.2 着重于 Rust，引入了一个新的查询来检测非 HTTPS 的 URL，这些 URL 容易被第三方拦截。此功能的添加强化了 CodeQL 工具集内 Rust 的安全特性。

在 JavaScript 和 TypeScript 领域，此更新增加了对 graphql 库的支持。现在能够跟踪从 GraphQL 查询源和变量到解析器函数参数的数据流。此外，对多个 AWS SDK 包的支持也得到了扩展，提高了 CodeQL 对使用云服务的应用程序的分析能力。

Python 开发者将受益于通过全局变量的增强数据流跟踪，支持嵌套字段访问模式。这种改进提高了污点跟踪分析的精度，特别是在复杂的全局变量结构中。此外，Python 的正则表达式查询已经过改进，以减少误报，py/inheritance/signature-mismatch 查询也进行了现代化处理，以获得更精确的结果。

其他语言的改进

Ruby 的 Grape 框架现在在 CodeQL 中有了初步建模，可以检测 Grape API 类中的 API 端点、参数和头。这提高了使用这一流行框架的 Ruby 应用程序的安全分析。

对于 Go，此更新引入了对私有包注册表的 Git 源类型的支持，补充了现有的 GOPROXY 服务器支持。这拓宽了 Go 项目中包管理分析的范围。

在 C# 中，CodeQL 基于复杂模式表达式改进了对空值保护的建模，从而减少了与可能为空的解引用值相关的查询中的误报。

部署与未来更新

CodeQL 2.23.2 中的所有新功能和改进都将自动部署到 github.com 上的 GitHub 代码扫描用户。这些更新也将被整合到 GitHub 企业服务器（GHES）的未来版本中。使用旧版 GHES 的用户可以手动升级到新的 CodeQL 版本，以利用这些增强功能。

有关 CodeQL 2.23.2 包含的更新的完整列表，用户可以参考官方变更日志。

• github
• codeql
• rust
• 静态分析