Les CodeQL Community Packs sont un ensemble de ressources conçues pour étendre et enrichir les capacités d’analyse du code avec CodeQL. Cette nouvelle offre, lancée fin 2024 par GitHub, s’adresse aussi bien aux développeurs qu’aux chercheurs en sécurité, et vise à identifier un plus grand nombre de vulnérabilités, y compris dans des scénarios où la priorité n’est pas de limiter les faux positifs à tout prix.
L’idée derrière CodeQL est de traiter votre code comme une base de données, que l’on peut interroger pour repérer des failles ou des motifs indésirables. Les Community Packs proposent notamment des model packs, qui décrivent comment des données potentiellement dangereuses circulent entre différentes parties d’un programme (sources et sinks), ainsi que des query packs contenant des requêtes supplémentaires pour traquer des failles de sécurité ou améliorer la qualité du code. Certains library packs fournissent également des bibliothèques utiles à d’autres requêtes.
Sur son blog, GitHub souligne avoir déjà utilisé ces packs depuis plusieurs années pour ses propres analyses de sécurité, notamment lors de revues de code approfondies sur des projets open source comme Datahub ou Home Assistant. En plus de faciliter la détection de vulnérabilités (381 failles découvertes à ce jour), ces packs aident les équipes à comprendre rapidement les flux de données dans des bases de code volumineuses. Un exemple marquant est la découverte de Log4Shell, une injection JNDI au sein de la bibliothèque Log4J, que l’on aurait pu repérer automatiquement si la menace avait été définie par défaut comme “source de données non fiable” dans CodeQL.
Les CodeQL Community Packs couvrent principalement Java, C# et Python, avec des requêtes dédiées à des vulnérabilités connues (comme Log4Shell) et des fonctionnalités d’audit exploration pour inventorier les dépendances, les points d’entrée de données ou les opérations sensibles d’un projet. Les library source packs permettent même d’analyser uniquement la bibliothèque tierce, sans nécessairement inclure la totalité de l’application. Cette flexibilité ouvre la voie à une meilleure détection des failles dans des contextes variés, en adaptant précisément la portée de l’analyse.
Pour en savoir plus ou adopter ces nouvelles ressources, rendez-vous sur le dépôt GitHub CodeQL Community Packs ou sur le blog officiel de GitHub.
