OSS

攻撃の概要と規模 GlassWormは、開発者のソフトウェアサプライチェーンを標的とした大規模な攻撃キャンペーンである。Socket、Aikido Security、Step Security、OpenSourceMalwareコミュニティなど複数のセキュリティ研究機関が調査を進めており、合計433件以上の侵害されたコンポーネントが確認された。内訳はOpen VSX拡張機能72件以上、GitHubリポジトリ351件（Pythonリポジトリ200件、JavaScript/TypeScriptリポジトリ151件）、npmパッケージ10件以上に及ぶ。キャンペーンの痕跡は2025年10月にKoi Securityが最初に検出しており、その後2025年11月から2026年3月にかけて複数の攻撃波が確認されている。 Solanaブロックチェーンを利用した巧妙なC2メカニズム GlassWormの最大の特徴は、Solanaブロックチェーンをコマンド＆コントロール（C2）インフラとして利用する斬新な手法にある。マルウェアは5秒ごとにブロックチェーンのトランザクションを照会し、トランザクションメモに埋め込まれたペイロードURLから指令を取得する「デッドドロップリゾルバ」方式を採用している。2025年11月から2026年3月の間に約50件のブロックチェーントランザクションでペイロードURLが更新されており、分散型インフラを活用することで従来のドメインベースのテイクダウンを困難にしている。また、Solanaウォレットをローテーションさせることで追跡回避を図っている。 感染手法と難読化技術 攻撃者はVSCode/Open VSXの拡張機能においてextensionPackやextensionDependenciesフィールドを悪用し、一見無害なパッケージが信頼を獲得した後に悪意ある別の拡張機能を取り込む「推移的配信」アプローチを採用している。リンター、フォーマッター、AIツールなどを装った拡張機能が確認されており、angular-studio.ng-angular-extensionやgvotcha.claude-code-extensionなどの具体名が報告されている。GitHubではアカウントを乗っ取って悪意あるコミットをforce-pushする手法が使われ、コミット履歴をLLMで生成したと見られる自然なカバーコミットで偽装する巧妙さも指摘されている。さらに、コードエディタやターミナルでは不可視のUnicode文字を使ってペイロードを隠蔽する難読化技術や、バージョン更新なしにコードを動的に変更できるRemote Dynamic Dependencies（RDD）と呼ばれる手法も用いられている。 窃取される情報と検出方法 マルウェアは開発者環境から認証情報・APIトークン・SSH鍵、環境変数・CI/CD認証情報、暗号資産ウォレットの内容、システムメタデータなど広範なデータを窃取する。コード分析からロシア語話者による攻撃が示唆されており、ロシア語ロケールのシステムでは実行をスキップする挙動が確認されているが、決定的な帰属証拠とは言えないと研究者は指摘している。Step Securityは検出指標として、コードベース内のマーカー変数lzcdrtfxyqiplpd、ホームディレクトリの~/init.json永続化ファイル、予期しないNode.jsインストール、クローンプロジェクト内の不審なi.jsファイル、Gitコミット履歴の異常などを確認するよう推奨している。Open VSXは確認された悪意ある拡張機能を削除済みで、開発者には使用中の拡張機能やnpmパッケージの再確認が求められている。

開発者コミュニティのグローバルな急拡大 GitHubがOctoverse 2025のデータに基づく2026年のオープンソースエコシステム分析レポートを公開した。2025年には約3,600万人の新規開発者がGitHubに参加し、成長を牽引したのはインドで520万人の新規開発者が加わった。ブラジル、インドネシア、日本、ドイツも大きな成長を見せており、オープンソースへの参加がグローバルに広がっていることが明確になった。GitHubのアナリストであるDylan Birtolo氏は、この開発者の増加を「単なる指標ではなく、オープンソースのコントリビューターがどこに住み、働き、協力するかという根本的な再編を示すものだ」と評価している。 しかし、多様なタイムゾーンや文化的背景を持つ開発者の急増は、プロジェクト運営に構造的な課題をもたらしている。地理的に集中したチームで有効だった非公式な慣習は、大陸規模では機能しなくなっており、コントリビューションガイドライン、行動規範、レビュー基準、意思決定プロセスなどの明文化されたガバナンスを欠くプロジェクトは「持続可能な形で成長を管理することが困難になる」とレポートは警告している。 「AI slop」問題とメンテナへの負担 レポートが特に注目しているのは、AIによって生成された低品質なコントリビューション、いわゆる「AI slop」の問題だ。急成長しているプロジェクトの約60%がAI関連である一方、自動生成されたIssueやプルリクエストが急増し、メンテナのレビュー能力がコントリビューションの増加ペースに追いついていない。レポートはこの状況を「人間の注意力に対するDoS攻撃」と表現しており、コントリビューター数が増加しているにもかかわらずボトルネックが生まれている。 コントリビューターの増加に対して、メンテナやレビュワーの数は比例して成長しておらず、既存のメンテナに持続不可能な圧力がかかっている。AIは開発者のアクセシビリティを向上させる一方で、人間によるフィルタリングが必要なノイズを同時に生み出すという二面性を持っており、この「メンテナボトルネック」はOSSエコシステム全体の持続可能性を脅かす構造的な問題となっている。 ガバナンス整備とAI活用による対策 レポートは、現在のオープンソースが直面している課題の本質は技術的なものではなくガバナンスにあると指摘する。GitHubは重複Issue検出や自動ラベリングシステムなど、メンテナの負担を軽減するツールを開発しており、AIを単なるコーディング支援ではなくコミュニティインフラとして活用する方向性を示している。 一方、急成長しているプロジェクトの約40%はAI関連ではなく、Home Assistant、VS Code、Godotなどのプロジェクトは、技術的な目新しさではなく明確なコミュニティ構造と実用性によって成功を収めている点も注目に値する。 持続可能なエコシステムに向けた展望 レポートによれば、2026年に成功するプロジェクトは、明確に文書化されたガバナンスフレームワークの導入、コーディングだけでなくメンテナ支援（フィルタリング、ラベリング）へのAI活用、コントリビューターからレビュワー・メンテナへの明確な昇進パスの整備、グローバルな非同期参加の支援といった要素を備えるものになるとしている。2026年の課題は技術的な能力ではなく組織としての持続可能性にあり、コードベースのインフラと同様にプロセスのインフラがオープンソースコミュニティのスケーリングに不可欠になったとレポートは結論づけている。

AIエージェント統合の本格化 JetBrainsは2026年3月25日、IntelliJ IDEA 2026.1を正式リリースした。今回のリリースで最も注目されるのは、AIエージェントとの統合が大幅に強化された点だ。新たに導入されたACP（Agent Communication Protocol）レジストリにより、ユーザーはワンクリックでAIエージェントをブラウズ・インストールできるようになった。Codex、Cursor、およびACP互換エージェントへの組み込みサポートが追加され、IDE内でエージェントにタスクを委任しながら開発を進めるワークフローが実現している。Gitワークツリーを活用した並列ブランチ作業により、エージェントがバックグラウンドで作業する間も開発者は自身の作業を続けることが可能だ。さらに、エージェントがデータベースに直接アクセスしてクエリや変更を行える機能も追加されている。 IDE側のAI支援機能も強化され、クォータ不要のネクストエディットサジェスチョンがファイル全体に変更を伝播するようになったほか、拡張コマンド補完にAIアクションが統合された。なお、AI関連機能の利用可能範囲は地域によって異なる。 言語サポートの拡充 Java 26のday-oneサポートが提供され、プレビュー機能を含む最新のJava機能にリリース初日から対応する。同様に、Kotlin 2.3.20についてもday-oneサポートが追加され、実験的機能への対応も含まれている。 特筆すべき変更として、IntelliJ IDEAにC/C++のファーストクラスコーディング支援が新たに追加された。これにより、マルチ言語プロジェクトにおいてC/C++コードの編集・解析がIDE内でシームレスに行えるようになっている。また、JavaScriptサポートがUltimateサブスクリプション不要で利用可能になった点も、幅広い開発者にとって歓迎される変更だ。 フレームワーク対応とパフォーマンス改善 Spring Frameworkについては、実行時インサイト機能が導入され、実行を一時停止することなく、注入されたBean、エンドポイントセキュリティ、プロパティ値をリアルタイムで検査できるようになった。Kotlin固有のJPA対応も強化され、Jakarta Persistenceエンティティにおけるkotlin特有の落とし穴を検出・修正する機能が追加されている。 パフォーマンス面では、1,000件以上のバグ修正とUIフリーズ対策が実施され、安定性が大きく向上している。大規模TypeScriptプロジェクトのパフォーマンス改善、ネイティブDev Containerワークフローへの対応、拡張コマンド補完でのポストフィックステンプレートや設定ファイルサポートなど、開発者の生産性を高める多数の改善が含まれている。

1,250万ドルの大型投資とその背景 Open Source Security Foundation（OpenSSF）は、Anthropic、Amazon Web Services（AWS）、GitHub、Google、Google DeepMind、Microsoft、OpenAIといった主要テクノロジー企業から1,250万ドルの新規資金提供を受けたことを発表した。この投資はAlpha-OmegaプロジェクトとOpenSSFが共同で管理し、持続可能なセキュリティソリューションの構築、脆弱性の修正、そしてAIエコシステムのセキュリティ強化を目的としている。 AI企業であるAnthropicやOpenAI、Google DeepMindが名を連ねていることは、オープンソースソフトウェアのセキュリティがAI開発基盤にとっても不可欠であるという認識の広がりを示している。AIシステムは多数のオープンソースライブラリに依存しており、サプライチェーン全体の安全性確保が業界共通の課題となっている。 サプライチェーン可視化ツール「Kusari Inspector」の無償提供 OpenSSFメンバーであるKusariは、同団体と提携してサプライチェーン可視化ツール「Kusari Inspector」をOpenSSFプロジェクトのメンテナー向けに無償で提供することを発表した。Kusari Inspectorは開発ワークフローに統合され、リアルタイムで依存関係の状況を可視化する。これにより、コードがマージされる前に脆弱性やライセンスの問題を特定することが可能になる。オープンソースプロジェクトのメンテナーにとって、依存関係の管理は大きな負担となっており、こうしたツールの無償提供は実質的な支援となる。 コミュニティ拡大と新たな取り組み OpenSSFはOpen Source SecurityCon Europeにおいて、Helvethink、Spectro Cloud、Quantrexionの3社を新メンバーとして迎え入れたことも発表した。さらに、コミュニティリーダーがセキュアな開発手法の普及やコントリビューターの育成を担うアンバサダープログラムも新たに始動している。 技術面では、SonatypeとRed Hatのコミュニティメンバーが提唱する「Gemara Model」と呼ばれる7層構造のガバナンス・リスク・コンプライアンス（GRC）エンジニアリングフレームワークが紹介された。自動化されたリスク評価を実現するこのモデルは、組織がオープンソースソフトウェアのセキュリティリスクを体系的に管理するための枠組みを提供する。 AI時代のセキュリティ課題と今後の展望 OpenSSFはAIツールによって生成される低品質な脆弱性レポートの急増にも対応を進めている。AIが自動的に大量の脆弱性報告を生成する「氾濫」状態に対し、「人間を介在させる（human in the loop）」アプローチの重要性を強調している。今後は2026年5月にOpen Source Summit North AmericaおよびOpenSSF Community Day North Americaが開催される予定であり、これらの取り組みがさらに具体化していく見通しだ。

CLI v4の主要な変更点 shadcn/uiは3月のアップデートでCLI v4をリリースし、開発者体験の大幅な改善を図った。最大の特徴は、CLIが単なるインストーラーからプロジェクト状態を管理する高度なツールへと進化した点にある。新たに追加された--dry-runフラグはディスクへの書き込みなしにコンポーネント追加のシミュレーションを行い、--diffフラグはレジストリの更新とローカルの変更を比較表示する。さらに--viewフラグでペイロードを事前に確認できるため、プロジェクトへの変更を透明性高く管理できるようになった。 フレームワーク対応も大きく拡張され、Next.js、Vite、TanStack Start、React Router、Astro、Laravelの6つのフレームワークに対してファーストクラスのテンプレートが提供される。--baseフラグによりRadixとBase UIのプリミティブを選択できるほか、shadcn docs [component]コマンドでレジストリからドキュメントやコードスニペットを直接取得することも可能になった。 AIエージェント向けスキル機能 今回のアップデートで注目すべき新機能が「shadcn/skills」だ。これはv0、Cursor、Claudeといったコーディングエージェントに対して、shadcn/ui固有のコンテキストを提供する仕組みである。AIエージェントがRadixとBase UIのプリミティブの違いや、レジストリのワークフロー、CLIフラグの使い方を正確に理解できるようになり、ハルシネーションや誤操作が軽減される。例えば「新しいViteモノレポを作成して」や「Tailarkからヒーローセクションを探して」といったプロンプトを信頼性高く実行できるようになるという。 デザインシステムプリセット デザインシステムプリセットは、カラー、テーマ、フォント、ボーダー半径、アイコンなどの設定をポータブルな文字列としてバンドルする機能だ。ワークフローは3ステップで構成される。まずビジュアルビルダー「shadcn/create」でプレビューしながらプリセットを生成し、次にnpx shadcn@latest init --preset [CODE]でプロジェクトを初期化する。既存のプロジェクトに対してinitを再実行すれば、プロジェクト全体の設定が自動的に切り替わる仕組みだ。 このアップデートにより、shadcn/uiは「最もAI対応が進んだデザインシステム」としてのポジションを強化しており、デザインコンセプトからプロダクション品質のインターフェースまでの距離を縮めることを目指している。

昇格の概要 CNCF（Cloud Native Computing Foundation）の技術監視委員会（TOC）は2026年3月24日、KubernetesネイティブのCI/CDフレームワーク「Tekton」をIncubatingプロジェクトとして正式に承認した。TektonはCD Foundation（CDF）で既に卒業プロジェクトとしての地位を確立しており、CNCFにはSandboxを経ずに直接Incubatingレベルで受け入れられた。これはプロジェクトの成熟度、安定性、そしてクラウドネイティブエコシステムにおける重要性が認められた結果である。TOCスポンサーのChad Beaudin氏は「TektonはKubernetesネイティブなデリバリーのためのコアインフラとしての実力を証明した。Incubatingへの移行は、強力なマルチベンダーガバナンスとCNCFプロジェクトとの深い連携を反映している」と評価している。 Tektonのアーキテクチャと主要コンポーネント TektonはKubernetes上で動作するCI/CDフレームワークであり、Steps、Tasks、Pipelinesという構成可能なプリミティブを通じて、マルチクラウドおよびオンプレミス環境でのビルド、テスト、デプロイを実現する。プロジェクトは複数のコンポーネントで構成されており、CI/CDワークフローの中核を担う「Pipelines」（コアはv1.0安定版に到達済み）、Gitプッシュやプルリクエストなどのイベントに基づいてパイプラインを起動する「Triggers」、コマンドラインインターフェースの「CLI」、Webベースの管理UIである「Dashboard」、そしてアーティファクトの署名・証明を行うサプライチェーンセキュリティツール「Chains」がある。 コミュニティの成長と採用実績 Tektonのコミュニティは着実に成長を遂げており、GitHub上で11,000以上のスター、5,000以上のプルリクエスト、2,500以上のIssue、そして600人以上のコントリビューターを擁する。企業採用も広がっており、Red Hat OpenShift PipelinesやIBM Cloud Continuous Deliveryといった商用製品の基盤として活用されているほか、Puppet社やFord Motor Companyなどの大手企業でも導入されている。さらに、CNCFプロジェクトであるShipwrightやRed Hatが主導するKonfluxといったプロジェクトの基盤としても機能しており、エコシステム内での存在感を高めている。Argo CD（GitOps）、SPIFFE/SPIRE（アイデンティティ管理）、Sigstore（署名・検証）との統合も進んでいる。 今後のロードマップ Tektonの今後の開発では、サプライチェーンセキュリティの強化が重要な柱となる。SLSA Level 3をデフォルトで達成することを目指すほか、共有ストレージなしでタスク間のデータを安全に受け渡す「Trusted Artifacts」機能の開発が進められている。また、リモートのTask/Pipeline参照の構文改善、Kueueとの統合による高度なスケジューリング、長期的な履歴管理とクエリのためのResults APIの安定化、Artifact Hubを通じたCatalogの進化、そしてGitベースのワークフローを実現する「Pipelines as Code」の継続的な開発が予定されている。TOCスポンサーのJeremy Rickard氏は「Tektonのコンポーザブルな設計と幅広い採用は、クラウドネイティブワークフロー環境において重要な位置を占めている」と述べており、Incubating昇格によりエンタープライズ採用のさらなる加速が期待される。

概要 Googleは2026年3月、Kubernetes上でマルチプレイヤーゲームの専用サーバーをオーケストレーション・スケーリングするオープンソースプラットフォーム「Agones」を、Cloud Native Computing Foundation（CNCF）にSandboxレベルのプロジェクトとして寄贈した。これにより、Agonesはベンダー中立なコミュニティ主導のガバナンス体制へと移行し、Google以外のクラウド事業者やゲームスタジオからの参加拡大が期待される。 Agonesは2017年にGoogleとUbisoftの共同開発で誕生し、現在は250人以上のコントリビューターによって支えられている。プロジェクト創設者でリードメンテナーのMark Mandel氏は「マルチプレイヤーゲームサーバーのホスティングはかつて独自のプロプライエタリシステムに完全に依存していたが、オープンソースがゲームを変えた」と語り、CNCF移管の意義を強調した。 技術的な特徴 Agonesの最大の強みは、Kubernetesを拡張してゲームサーバーのライフサイクル管理を標準化する点にある。PC、コンソール、モバイルといったプラットフォームを問わず、一度ビルドしたサーバーバイナリを修正することなく、オンプレミスを含む主要なクラウドプロバイダーへシームレスにデプロイできる「Build Once, Deploy Everywhere」のアプローチを採用している。UbisoftのThomas Lacroix氏も、このクラウドアグノスティックな設計により、ゲームサーバーバイナリを変更せずにあらゆるクラウドで一貫して専用サーバーを稼働できる点を評価している。 また、単一のサーバープロセスで複数のゲームセッションを安全にホストする機能や、再利用可能なゲームサーバーパターンによる効率化、共通APIによるサーバー管理の簡素化といった機能を備えており、大規模なマルチプレイヤーゲームの運用コスト削減に貢献する。 今後の展望 CNCFへの移管は、マルチプレイヤーゲームインフラのオープンスタンダード化を推進する重要な一歩となる。これまでゲーム業界ではプロプライエタリなインフラが主流だったが、Agonesがベンダー中立な基盤として広く採用されることで、業界全体のインフラ標準化が加速する可能性がある。2026年のKubeCon + CloudNativeCon Europe（アムステルダム）では、Mark Mandel氏とUbisoftのJean-François Hubert氏による基調講演が予定されており、Ubisoftにおけるオーケストレーション戦略が紹介される見込みだ。

概要 GitHubは2026年3月25日、Copilotの利用状況メトリクスを更新し、Copilot Coding Agent（CCA）のアクティブユーザーを識別・追跡できる機能を追加した。これにより、エンタープライズおよび組織の管理者は、IDE内でのCopilotエージェントモードの利用と、CCAによる自律的なコーディング作業を明確に区別して把握できるようになった。日次および28日間の利用レポートでCCAのアクティブユーザー数を確認でき、チームがIDEの外でどのようにCopilotを活用しているかをデータに基づいて理解できる。 技術的な詳細 CCAの利用状況はAPIレスポンス内のused_copilot_coding_agentフィールドとして提供される（APIバージョン2026-03-10）。従来からあるIDEエージェントモードのused_agentフィールドとは別に管理されるため、2つの異なるエージェント機能の利用状況を個別に分析できる。CCAのアクティビティとしてカウントされるのは、Copilotにissueをアサインした場合と、プルリクエストのコメントで@copilotをタグ付けした場合の2つのアクションだ。 管理者にとっての意義 今回の更新により、組織の管理者はCopilotの導入効果をより詳細に評価できるようになった。IDEでのコード補完やチャットといった従来の利用に加え、CCAによる自律的な計画・コーディングの利用パターンを把握することで、チーム全体のAI活用状況を包括的にモニタリングできる。これは、Copilotへの投資対効果を測定し、組織内での最適な活用方針を策定するうえで重要なデータとなる。

概要 Microsoftは2026年3月25日、Visual Studio Code 1.113を正式リリースした。週次Stableリリース体制への移行後、本格的な機能強化を含むリリースとして注目される。今回のアップデートでは、AIエージェント関連の機能が大幅に拡充されたほか、チャット体験の改善、エディタのブラウザタブ管理機能、新しいデフォルトテーマの導入など、幅広い領域で改良が加えられている。 AIエージェント機能の強化 最も目を引く新機能の一つが「Thinking Effort」セレクターだ。Claude Sonnet 4.6やGPT-5.4など推論をサポートするモデルにおいて、モデルピッカーから思考量を「Low」「Medium」「High」の3段階で切り替えられるようになった。これにより、簡単な質問には素早い応答を、複雑な問題には深い推論をといった使い分けが可能になる。従来のgithub.copilot.chat.anthropic.thinking.effortおよびgithub.copilot.chat.responsesApiReasoningEffort設定は非推奨となった。 サブエージェントのネスト呼び出しも重要な追加機能だ。chat.subagents.allowInvocationsFromSubagents設定を有効にすることで、サブエージェントが別のサブエージェントを呼び出せるようになり、複雑なマルチステップワークフローの構築が可能になった。さらに、MCPサーバーをCopilot CLIやClaudeエージェントと共有できるようになり、ローカルエディタを超えたMCPサーバーの活用が広がった。 チャット体験とセッション管理の改善 チャットカスタマイゼーションエディタがプレビューとして導入され、カスタムインストラクション、プロンプトファイル、カスタムエージェント、スキルなどを一元的に管理できるインターフェースが提供された。コードエディタの埋め込みやAI支援によるコンテンツ生成機能も備えている。 セッション管理面では、Copilot CLIやClaudeエージェントのセッションをフォークする機能が追加された。github.copilot.chat.cli.forkSessions.enabled設定で有効化でき、元のコンテキストを失うことなく異なる思考の方向性を探索できる。また、エージェントデバッグログパネルがCopilot CLIやClaudeエージェントのセッションにも対応し、デバッグが容易になった。 エディタとUIの改善 エディタ体験では、統合ブラウザでの自己署名証明書の一時的な信頼機能が追加された。開発時に自己署名証明書を使用する場面で、1週間有効な一時的信頼を付与でき、必要に応じて失効させることも可能だ。ブラウザタブ管理も強化され、⇧⌘A（Windows/LinuxではCtrl+Shift+A）でのクイックオープンや、タイトルバーへのグローブアイコン表示、全タブの一括クローズなどが利用できるようになった。 デフォルトテーマも刷新され、「VS Code Light」と「VS Code Dark」が従来の「Modern」テーマに代わる新しいデフォルトとして導入された。新規インストールではOSテーマとの同期がこの新テーマに自動設定される。なお、v1.110で非推奨となったEdit Modeは完全に廃止され、v1.125まではchat.editMode.hidden設定による再有効化が可能だが、その後は完全に削除される予定だ。

GitHub Enterprise Server 3.20の主な新機能 GitHub Enterprise Server（GHES）3.20が2026年3月17日に一般提供（GA）を開始した。今回のリリースでは、デプロイの効率性、監視機能、コードセキュリティ、ポリシー管理の各領域で大幅な強化が行われている。 注目すべき新機能として、まずイミュータブルリリースが導入された。GitHubリリースに不変性を付与できるようになり、公開後のリリースアセットの追加・変更・削除をロックし、リリースタグの移動や削除も防止する。これにより、サプライチェーン攻撃から配布アーティファクトを保護できる。また、以前パブリックプレビューだったバックアップサービスがGAとなった。GHES内蔵のマネージドサービスとして、従来のbackup-utilsに代わるバックアップ手段を提供する。なお、backup-utilsはバージョン3.22で廃止予定となっている。 プルリクエストのマージ体験も刷新され、ステータスチェックがステータス別にグループ化（失敗チェックが先頭表示）され、自然順ソートで整理されるようになった。高可用性構成では、プライマリデータノードからCPU集約型タスクをオフロードするための追加ノードをデータセンターに配置できるようになり（パブリックプレビュー）、水平スケーリングが可能となった。さらに、エンタープライズオーナーがエンタープライズチームを作成・管理し、組織横断のガバナンスを簡素化できる機能も追加されている。 Dependabotによるnpmマルウェア検出 同日、Dependabotにnpm依存パッケージのマルウェア検出機能が追加された。有効化すると、DependabotがnpmパッケージをGitHub Advisory Databaseのマルウェアアドバイザリと照合し、既知の悪意あるバージョンへの依存を検出してアラートを発行する。 この機能はオプトイン方式で、リポジトリ・組織・エンタープライズのセキュリティ設定から有効化できる。マルウェアアラートはCVEベースの脆弱性アラートとは別カテゴリとして表示され、トリアージの効率化が図られている。2022年にパブリック・プライベートパッケージの名前衝突による誤検知問題で一度停止されていたが、オプトイン制御やマルウェアバージョンのみのデフォルトアラート、CVEアラートとの明確な分離といった再設計を経て復活した。今後はOpenSSF Malware Streamsプロジェクトとの統合を通じ、npm以外のエコシステムへの対応拡大も予定されている。 CodeQL 2.24.3：Java 26サポートと解析精度の向上 2026年3月10日にリリースされたCodeQL 2.24.3では、Java 26のサポートが追加された。Java解析においてMaven POMファイルからJavaバージョンを自動選択する仕組みが導入され、可能な場合はすべてのMavenプロジェクトでJava 17以上を使用してビルド互換性を向上させる。GHES 3.20自体もCodeQLの強化を多数含んでおり、C/C++リポジトリのビルドなしスキャン（build-mode none）のGA化、全サポート言語でのインクリメンタル解析、Swift 6.2/6.2.1やKotlin 2.2.0x/2.2.2xへの対応などが盛り込まれている。 その他の言語別改善としては、JavaScript/TypeScriptでmobx-reactおよびmobx-react-liteのobserverラップReactコンポーネントのサポート、PythonでAntiSSRFライブラリによるSSRFサニタイゼーションバリアの追加、isSafe(x) == trueやisSafe(x) != falseといったガード条件の自動処理が含まれる。 Actions Runner Controller 0.14.0：マルチラベル対応とオートスケーリング安全性の強化 2026年3月19日にリリースされたActions Runner Controller（ARC）0.14.0では、ランナースケールセットへのマルチラベルサポートが実現した。従来は1スケールセットにつき1ラベルしか設定できず、OS・ハードウェア・ネットワーク構成の組み合わせごとに別のスケールセットが必要だったが、複数ラベルを1つのスケールセットに定義しruns-on宣言で組み合わせて指定できるようになった。 オートスケーリングの安全性も向上し、ランナーが終了コード7で終了した場合にコントローラーがそのランナーセットのオートスケーリングを停止する仕組みが導入された。これにより、新しい構成のロールアウト中に古いランナーがプロビジョニングされるリスクが軽減される。リスナーPodにはデフォルトでkubernetes.io/os: linuxのnodeSelectorが追加され、混合OSクラスターでのWindows Nodeへの誤スケジューリングも防止される。また、actions/scalesetライブラリが唯一のAPIクライアントとして採用され、内部アーキテクチャが整理された。