CodeQL, ein Code-Analyse- und ein Abfragetool zum Auffinden von Sicherheitsschwachstellen in einer Codebasis, wird künftig von Github kostenlos zur Verfügung gestellt, so dass jeder das Tool in der Forschung oder zur Analyse von Open-Source-Code nutzen kann. Das Tool wurde ursprünglich vom Unternehmen Semmle entwickelt, das von Github im September 2019 übernommen wurde.
CodeQL analysiert Code auf Sicherheitsschwachstellen. Entwickler können CodeQL also etwa dazu verwenden, eine Abfrage zu starten, die alle Varianten einer Schwachstelle findet, und diese Abfrage dann mit anderen Entwicklern teilen. Ein Entwickler könnte beispielsweise eine Abfrage erstellen, die eine Fehlerklasse für standortübergreifendes Scripting nachahmt, und diese dann verwenden, um eine beliebige Fehlerklasse zu finden. CodeQL kann auch verwendet werden, um Zero-Days, Varianten kritischer Schwachstellen und Fehler wie Pufferüberläufe oder SQL-Injektionsprobleme zu finden.
Die Entscheidung, CodeQL frei verfügbar zu machen, kommt im Rahmen einer neuen Initiative zur Verbesserung von Code-Sicherheit seitens Github. Diese trägt den Namen
Security Lab und hat das Ziel, die Kooperation von allen an sicherer Software interessierten Parteien, sprich Entwicklern, Firmen und Sicherheitsforschern, zu vereinfachen und effektiver zu machen. Partner beim Security Lab sind beispielsweise Unternehmen wie Google, Uber, Mozilla und Oracle.
