GitHub ha introducido los nuevos CodeQL Community Packs, una herramienta avanzada destinada a potenciar el análisis de código. Esta novedosa colección de paquetes ha sido meticulosamente diseñada para enriquecer las capacidades de CodeQL, proporcionando recursos adicionales no solo para desarrolladores, sino también para investigadores de seguridad.
CodeQL es una herramienta que permite analizar el código como si de una base de datos se tratase, simplificando la detección de vulnerabilidades y errores de manera más eficiente. Aunque el conjunto estándar de consultas de CodeQL ya destaca por su precisión y bajo índice de falsos positivos, los nuevos Community Packs permiten un ajuste fino de estas métricas, priorizando la reducción de falsos negativos. Esto, a su vez, garantiza que los problemas críticos no pasen desapercibidos, aunque implique un esfuerzo adicional en el proceso de clasificación.
Los CodeQL Community Packs se dividen en tres categorías principales. En primer lugar, los ‘Model packs’ aportan modelos complementarios que facilitan el seguimiento de taint y resúmenes detallados de bibliotecas y frameworks, que no son compatibles con los conjuntos estándar. En segundo lugar, los ‘Query packs’ proporcionan consultas adicionales para mejorar la seguridad y auditar potenciales vulnerabilidades en el código. Finalmente, los ‘Library packs’, aunque no incluyen consultas directas, ofrecen bibliotecas cruciales para un análisis más exhaustivo.
Durante los últimos años, el GitHub Security Lab ha empleado intensamente estos paquetes, logrando detectar de manera efectiva vulnerabilidades a través de consultas de auditoría. Han sido especialmente útiles en revisiones manuales profundas, como las llevadas a cabo para proyectos como Datahub y Home Assistant, donde la capacidad para identificar archivos que introducen datos no confiables fue altamente valiosa.
Estos nuevos paquetes incluyen consultas y modelos para lenguajes como Java, C# y Python, ajustando la relación señal-ruido para maximizar la reducción de falsos negativos, un aspecto especialmente útil para los investigadores de seguridad. Por ejemplo, los paquetes de Java no solo contienen consultas para CVEs conocidos, sino también nuevas contribuciones en seguridad de ingenieros y plantillas innovadoras para el seguimiento de taint.
Adicionalmente, se han desarrollado modelos extensivos para bibliotecas, mejorando la capacidad de CodeQL para reportar rutas de flujo de datos peligrosas desde APIs de terceros. Esta innovación ha mejorado la eficacia en la detección de problemas de seguridad, como la infame inyección JNDI.
Los nuevos Community Packs están disponibles tanto en el flujo de trabajo de GitHub como a través de la interfaz de línea de comandos de CodeQL, facilitando su integración en los análisis de código de los usuarios. Este desarrollo subraya el compromiso con la participación comunitaria, animando a los desarrolladores a contribuir con sus propios modelos y consultas, ayudando así a fortalecer la seguridad del software de código abierto.
