GitHub ha dado un nuevo paso adelante en el fortalecimiento de la seguridad de sus plataformas mediante el lanzamiento de CodeQL Community Packs, un conjunto de paquetes diseñados para ampliar y enriquecer las capacidades de análisis de código, tanto para investigadores de seguridad como para desarrolladores. Estos paquetes ofrecen consultas y modelos adicionales que complementan las consultas estándar de CodeQL, la potente herramienta de análisis semántico que permite a los desarrolladores tratar sus bases de código como bases de datos para identificar eficazmente vulnerabilidades y errores.
La nueva colección de CodeQL Community Packs se compone de tres tipos principales de paquetes: Model packs, Query packs y Library packs. Los Model packs contienen modelos para el seguimiento de taint y resúmenes de bibliotecas y marcos no soportados por las consultas estándar. Los Query packs ofrecen consultas adicionales centradas en la seguridad y la auditoría, destinadas a localizar vulnerabilidades potenciales y mejorar la calidad del código. Por último, los Library packs facilitan bibliotecas fundamentales para un análisis más exhaustivo, aunque no contienen consultas por sí mismos.
Esta iniciativa ha sido producto de años de uso intensivo por parte del GitHub Security Lab, que ha demostrado su eficacia en la detección de vulnerabilidades a través de auditorías de código profundas en proyectos como Datahub y Home Assistant. Estos paquetes han permitido a los ingenieros listar y analizar más eficazmente archivos que introducen datos no confiables, siendo de gran valor en grandes bases de código desconocidas.
Los CodeQL Community Packs son especialmente útiles para los investigadores de seguridad, ya que incluyen modelos y consultas para lenguajes como Java, C# y Python. Están diseñados para minimizar los falsos negativos y así asegurar que ningún error crítico pase desapercibido. Además, los paquetes de Java, por ejemplo, incorporan consultas para vulnerabilidades conocidas, consultas nuevas aportadas por ingenieros y plantillas que mejoran el seguimiento de rutas de datos.
Asimismo, los nuevos modelos permiten un reporte más efectivo de rutas de datos no confiables, mejorando significativamente la detección de problemas de seguridad como inyecciones JNDI. Los usuarios pueden acceder a estos paquetes tanto a través de los flujos de trabajo de escaneo de código de GitHub como mediante la línea de comandos de CodeQL, facilitando su integración en los análisis de código.
La iniciativa también promueve la participación activa de la comunidad, invitando a los desarrolladores a compartir modelos y consultas que ayuden a mejorar la seguridad del software de código abierto, reforzando así la colaboración y el intercambio de conocimiento para incrementar la seguridad global en la programación y desarrollo de software.
