概要
GitHubは2026年4月15日、静的解析エンジン「CodeQL」のバージョン2.25.2をリリースした。本バージョンは、Kotlin 2.3.20への対応をはじめ、Java・C/C++・C#といった主要言語のクエリ精度改善、セキュリティ重要度スコアの調整など幅広いアップデートを含む。CodeQLはGitHubのコードスキャン機能を支える基盤ツールであり、今回の改善は多くのプロジェクトに直接影響する。
言語・フレームワーク対応の変更
Java / Kotlinの分野では、Kotlinサポートがバージョン2.3.20まで拡張された。あわせてクエリの精度も向上しており、java/tainted-arithmeticクエリでは条件判定における境界チェックパターンの誤検知(偽陽性)が削減された。また、java/potentially-weak-cryptographic-algorithmクエリは楕円曲線アルゴリズムおよびHMAC関連アルゴリズムを脆弱と判定していた警告を除外するよう修正され、過剰な警告が抑制された。
**C/C++**においても複数のクエリで誤検知を減らす最適化が施された。**C#**ではcs/constant-conditionクエリが簡略化され、別クエリとして存在していたcs/constant-comparisonはこれに統合される形で廃止された。
セキュリティ重要度スコアの再調整
今回のリリースで注目されるのが、複数言語にわたるセキュリティ重要度スコアの見直しだ。XSS(クロスサイトスクリプティング)関連クエリは重要度が中程度(スコア6.1)から高(スコア7.8)に引き上げられた。これにより、XSS脆弱性がコードスキャン結果でより目立つ形で報告されるようになり、開発者が早期に対処しやすくなる。一方、ログインジェクション関連のクエリは逆方向、つまり重要度が下方調整された。
これらのスコア変更は、現実の脆弱性リスクの評価を実態に合わせてより正確に反映させるための継続的な取り組みの一環であり、今後もリリースごとに調整が続けられる見込みだ。