CodeQL to analizator odczytujący kod aplikacji i badający go tak jakby to były dane. Narzędzie to jest wykorzystywane przez programistów do wyszukania w kodzie aplikacji błędów. Aby to zrobić należy sformułować zapytania analizujące kod, jak również udostępniać je innym użytkownikom korzystającym z usług platformy GitHub.

Deweloper może np. zbudować program/zapytanie imitujące atak typu „cross-site scripting”, które sprawdza czy analizowany kod nie zawiera podatności, dzięki którym atak taki może się zakończyć powodzeniem.

Zobacz również:

• Microsoft zapowiada nową linię małych modeli językowych AI
• Trendy technologiczne 2024 według AWS
• GitHub prezentuje funkcję wykorzystującą AI, która automatycznie skanuje i naprawia kod aplikacji

Ważna cechą narzędzia CodeQL jest też to, że jest w stanie wykrywać w aplikacjach luki typu „zero-day”, czyli takie o których sam twórca aplikacji nie wie iż istnieją. Może też identyfikować inne podatności, takie jak t umożliwiające przeprowadzanie ataków typu „buffer overflows” czy „SQL injection”.

Narzędzie CodeQL zostało opracowany kilka lat temu przez firmę Semmle, którą GitHub przejął we wrześniu tego roku. Jest ono obecnie nadal oferowane deweloperom na zasadach komercyjnych.

Z możliwościami narzędzia CodeQL można się zapoznać tutaj.