GitHub、静的解析エンジンCodeQL 2.26.0でKotlin 2.4.0対応とAIプロンプトインジェクション検知を追加

GitHubは、コードスキャニングの基盤となる静的解析エンジンCodeQLの最新バージョン2.26.0を公開しました。今回のアップデートではKotlin 2.4.0のフルサポートが追加されたほか、生成AIアプリケーション開発におけるセキュリティ強化として、JavaScriptおよびTypeScript向けのプロンプトインジェクション検知クエリが導入されました。
AI関連の更新では、OpenAIのRealtime APIセッション指示やAnthropicのレガシー補完プロンプト、Google GenAIのキャッシュコンテンツなど、主要なAI SDKを介したインジェクションのシンク(データの到達点)が追加されています。また、C#ではRazor Pageのハンドラーメソッド引数をリモートフローソースとして認識するようになり、SQLインジェクションなどの脆弱性検知精度が向上しました。Go言語においても標準ライブラリであるlog/slogパッケージに対応し、ログインジェクションの検出範囲が拡大しています。
従来は検知が困難だったSDK固有の呼び出しについても、バージョン2.26.0以降ではデフォルトのセキュリティクエリでカバーされるようになります。既存のGitHub ActionsやCLI環境でCodeQLを利用している場合は、解析エンジンを最新版に同期することで、これらの新しい言語仕様やセキュリティモデルの恩恵を受けることができます。
Related tools
この記事に関連するおすすめツール
比較検討しやすい導入候補を優先して表示しています。一部リンクは広告・アフィリエイトを含む場合があります。
フェレット記者の用語メモ
Razor Page
Razor PageはASP.NET Coreでページ中心の開発を実現するけど、ハンドラーの引数がそのまま外部からの入力ソースとして扱われる点に注意が必要だよ。ここを意識せずにロジックを組むと、意図しないパラメータ操作を許す脆弱性の温床になる。CodeQLの強化で、こうした隠れた入力経路の追跡漏れによる事故を防ぎやすくなるはずだよ。
比較: ASP.NET Web Forms
出典: GitHub Changelog
要点を短く整理して掲載しています。詳細は出典を確認してください。


