12.07.2026
GitHub выпустила CodeQL 2.26.0 — обновление статического анализатора, на котором работает GitHub code scanning. В версии добавлены поддержка Kotlin до 2.4.0, новый запрос для JavaScript/TypeScript на обнаружение передачи недоверенных данных в системные промпты ИИ-моделей и ряд уточнений для C#, Go, Python, Swift и GitHub Actions.
GitHub сообщила о выпуске CodeQL 2.26.0, статического анализатора кода, используемого в GitHub code scanning для поиска и исправления проблем безопасности. Главные изменения релиза — поддержка Kotlin до версии 2.4.0 и новый запрос js/system-prompt-injection для JavaScript и TypeScript.
Новый запрос ищет случаи, когда недоверенные пользовательские значения попадают в системный промпт ИИ-модели и потенциально позволяют атакующему изменить ее поведение. Для JavaScript/TypeScript также добавлены дополнительные sink-модели prompt injection для API SDK OpenAI, Anthropic и Google GenAI, включая промпты Sora, инструкции OpenAI Realtime, legacy completion prompts Anthropic, а также cached content и system instructions в Google GenAI.
Среди других изменений: параметры handler-методов Razor Pages в C# теперь учитываются как источники удаленного потока данных, что помогает запросам вроде cs/sql-injection; для Go добавлены модели пакета log/slog; экспериментальный запрос для JavaScript выявляет SSRF-защиты, которые отсекают private IPv4-диапазоны, но могут обходиться через IPv6 transition address formats.
GitHub также снизила число ложных срабатываний в отдельных запросах для Go, Python и GitHub Actions и улучшила моделирование CryptoKit для Swift. CodeQL 2.26.0 автоматически развертывается для пользователей GitHub code scanning на github.com; в GitHub Enterprise Server новые возможности появятся в одном из будущих релизов, а для старых версий GHES доступно ручное обновление CodeQL.
Источник: github.blog