GitHub、CodeQL 2.26.0でKotlin 2.4.0対応とAIプロンプトインジェクション検知を追加

GitHubは、コードスキャンの静的解析エンジンであるCodeQLの最新バージョン2.26.0をリリースしました。このアップデートにより、Kotlin 2.4.0までのサポートが追加されたほか、生成AIのSDKを利用するアプリケーション向けのセキュリティ検知機能が大幅に強化されています。
具体的には、JavaScriptおよびTypeScriptにおいて、OpenAI、Anthropic、Google GenAIの各SDKを対象としたプロンプトインジェクションのシンク(攻撃の影響を受ける箇所)が追加されました。これにはOpenAI Realtimeセッションの命令やAnthropicのレガシー補完プロンプト、Google GenAIのシステムインストラクションなどが含まれ、AIへの不正な指示入力を検知できるようになっています。また、C#ではRazor Pageのハンドラメソッド(OnGetやOnPost等)をリモートフローソースとして認識するようになり、SQLインジェクションなどの脆弱性検出精度が向上しました。
Go言語においても、標準ライブラリのlog/slogパッケージに対するモデルが追加され、ログインジェクションなどの検知が可能になっています。開発者は、自身の環境で利用しているSDKやフレームワークのバージョンが今回の更新範囲に含まれているかを確認し、コードスキャンのワークフローを更新することで、より広範な脆弱性検知の恩恵を受けることができます。
Related tools
この記事に関連するおすすめツール
比較検討しやすい導入候補を優先して表示しています。一部リンクは広告・アフィリエイトを含む場合があります。
フェレット記者の用語メモ
razor page
Razor PageはASP.NET Coreでページ中心の開発を実現するけど、ハンドラーの引数がそのまま外部からの入力ソースとして扱われる点に注意が必要だよ。ここを意識せずにロジックを組むと、意図しないパラメータ操作を許す脆弱性の温床になる。CodeQLの強化で、こうした隠れた入力経路の追跡漏れによる事故を防ぎやすくなるはずだよ。
比較: ASP.NET Web Forms
出典: GitHub Changelog
要点を短く整理して掲載しています。詳細は出典を確認してください。

