Breitere CWE-Abdeckung, mehr Sprachversionen Erweitertes Code-Scanning mit CodeQL bei GitHub

Von Stephan Augsten

Um bei der Code-Analyse mehr in die Tiefe und die Breite gehen zu können, hat Microsoft CodeQL auf den neuesten Stand gebracht. Die GitHub Code Scanning Engine erkennt somit mehr Common Weakness Enumerations und unterstützt neue Versionen bekannter Programmiersprachen.

Anbieter zum Thema

Die Code-Scanning-Enginge CodeQL soll sowohl in der Tiefe als auch in der Breite bessere Code-Analysen auf Github erlauben.
Die Code-Scanning-Enginge CodeQL soll sowohl in der Tiefe als auch in der Breite bessere Code-Analysen auf Github erlauben.
(Bild: GitHub)

Als Basis vieler Schwachstellen-Prüfungen bei GitHub dient CodeQL. Die Code-Scanning-Engine soll potenzielle Schwachstellen in Open-Source-Code finden, bevor diese in die Bereitstellung gelangen. Die jüngsten Neuerungen stehen bereits im Code Scanning auf GitHub.com zur Verfügung und sollen Teil der nächsten GitHub Enterprise Server-Version 3.5 werden. Benutzer anderer GHES-Versionen können ihre CodeQL-Version ebenfalls aktualisieren, um sofort von diesen Analyseverbesserungen zu profitieren.

In den Vorgängerversionen beherrschte CodeQL die Programmiersprachen JavaScript/TypeScript, Python, Ruby, Java, C#, Go und C/C++. Da diese Sprachen ebenfalls ständig weiterentwickelt werden, unterstützt CodeQL fortan die Sprachversionen C# 10 (.NET 6), Python 3.10, Java 17 und TypeScript 4.5 sowie deren Standard-Sprachfeatures.

Unter Linux wurde derweil ein Problem behoben, das dazu führte, dass die CodeQL CLI inkompatibel zu Systemen mit glibc 2.34 und älter war. Für Benutzer des CodeQL Apple Silicon Supports (Beta) wurde eine native Java-Laufzeitumgebung für verbesserte Leistung gebündelt. Rosetta 2 und macOS Developer Tools werden weiterhin für andere CodeQL-Komponenten benötigt.

Microsoft hat darüber hinaus die Erkennung für eine große Anzahl an unsicheren Entwicklungsmustern nach dem Common-Weakness-Enumeration, kurz CWE-System ausgeweitet. Hierzu zählen unter anderem Integer und Buffer Overflows sowie unsichere Datenweitergabe unter C++ ebenso wie unzureichende Zertifikatsvalidierung und Signatur-Verifizierungen unter JavaScript oder auch „Server-Side Request Forgery“-Identifizierung unter Python.

Weitere Informationen zu den CodeQL-Änderungen im GitHub-Changelog-Blog.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48069270)