CodeQL 2.25.6 添加了 Swift 6.3.2 支持并改进了 C# 覆盖率
一句话看懂:GitHub 于 2026 年 6 月 5 日发布了 CodeQL 2.25.6,新增对 Swift 6.3.2 的静态分析支持,并完成对 C# 14 和 .NET 10 的全面覆盖;同时优化了多语言的敏感数据检测,降低了误报率。
事件核心:发生了什么
GitHub Changelog 显示,CodeQL 2.25.6 是 GitHub 代码扫描功能背后的静态分析引擎的最新版本。主要更新包括:对 Swift 6.3.2 构建的应用提供分析支持;对 C# 14 和 .NET 10 实现完整支持,提取器已覆盖所有新语言特性,数据流库也内置了 .NET 10 运行时的生成模型。此外,Java/Kotlin 方面新增了 Apache Avro 的源和汇模型;C/C++ 增加了对 scanf_s 及相关函数的流源模型。查询方面,GitHub Actions 的 untrusted-checkout/critical 警报位置被调整到检出点,unpinned-tag 查询新增对 64 字符 SHA-256 哈希的识别,可能减少误报。在 JavaScript/TypeScript、Python、Swift 和 Rust 中,敏感数据检测的启发式逻辑得到改进,相关明文日志查询的结果更准确且误报更少。
为什么重要
这次更新反映出安全静态分析工具正在快速跟进主流语言的最新版本。Swift 6.3.2 和 C# 14/.NET 10 的及时支持,意味着开发者在采用新版语言特性时,可以同步获得代码安全扫描能力,无需等待适配期。对 GitHub Actions 中标签和模式匹配的优化,直接降低了企业 CI 安全流水线中的误报干扰,提升了自动化采纳意愿。敏感数据检测的改进则点明了一个趋势:AI 驱动的代码分析正更精确地处理模式模糊数据,这对隐私合规(如密码泄露排查)有实际帮助。
对用户/开发者/创作者的影响
对于日常使用 GitHub 代码扫描的开发者,CodeQL 2.25.6 带来的最直接变化是:使用 Swift 6.3.2 的 Apple 生态项目可以无缝接入分析;C# 开发者在使用 .NET 10 新特性时不会再因提取器不兼容而漏报。GitHub Actions 用户会注意到 untrusted-checkout 警报迁移到检出点,可能冲刷掉历史已关闭的警报,需要重新评审。同时,新版本对 SHA-256 和 Bash 正则的更好识别,能减轻团队处理虚假警告的负担。多语言敏感数据检测的改进则让任意使用 JavaScript、Python、Swift 或 Rust 的项目,在日志审计中更少遗漏密码或隐私数据。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
首先,CodeQL 对 Swift 和 C# 的快速跟进是否会稳定维持,目前公开信息显示 GitHub 将新版本自动部署到 github.com 用户,未来 GitHub Enterprise Server (GHES) 用户需手动升级,这一节奏是否加速值得观察。其次,敏感数据检测的启发式优化是否会在后续版本中扩展到更多语言(如 Go、Ruby),这将影响采用 CodeQL 的团队的安全覆盖面积。最后,随着 avro 等第三方库模型的加入,CodeQL 生态是否能吸引更多 Java/Kotlin 项目大规模启用,对同类型商业 SAST 工具的竞争格局有参考意义。
