TOPセキュリティ > コード解析エンジンCodeQL、オープンソースの脆弱性克服を...

セキュリティ

コード解析エンジンCodeQL、オープンソースの脆弱性克服を後押し

2019/11/19

Paul Krill InfoWorld

 ソースコードのセキュリティ脆弱性を見つけるためのコード解析エンジン「CodeQL」が、オープンソースコードの解析や研究用途の解析に関して、誰でも無料で使えるようになった。

Credit: Andreus / Getty Images

 CodeQLは、SQLと似たような構文のクエリを使ってコードを調べることができる解析エンジンで、脆弱性を発見して駆除するのに利用できる。ゼロデイ脆弱性などの重大な脆弱性とその亜種や、クロスサイトスクリプティング、バッファオーバーフロー、SQLインジェクションといった問題を発見するためのクエリを作成したり、他の開発者とクエリを共有したりできる。

 CodeQLを開発したのは、米GitHubがこの9月に買収した米Semmleだ。以前SemmleはCodeQLを商用サービスとして提供していたが、現在は、オープンソースのコードに対する解析は無料で行える。プライベートなコードリポジトリの解析には、商用ライセンスが引き続き提供されている。

↑ページ先頭へ