produced by Classmethod ˗ˏˋ 技術とビジネスの祭典 ˎˊ˗ Classmethod ODYSSEY 事前登録受付中

[GitHub] code scanning（CodeQL）を使用したコード分析を試してみた

若槻龍太

2023.04.27

こんにちは、CX事業本部 Delivery部の若槻です。

code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディングエラーを検出ことができる機能です。

この code scanning をなんだかんだで触ってこなかったので、今回実際に試してみました。

code scanning の課金と利用条件

code scanning は GitHub Actison で動作するため、スキャン実行ごとに GitHub Actison の実行料金が発生します。

また、利用できるリポジトリの利用条件は下記の通りとなります。

GitHub.com のすべてのパブリックリポジトリ
GitHub Enterprise Cloud を使用していて GitHub Advanced Security のライセンスを持つ Organization によって所有されるプライベートリポジトリ

code scanning に使用される CodeQL とは

CodeQL は、code scanning でセキュリティチェックを自動化するために GitHub が開発したコード分析エンジンです。 CodeQL を使用してコードを分析し、結果を code scanning アラートとして表示することができます。code scanning で既定で使用されます。

CodeQL では現在下記の言語で記述されたコードの解析が可能です。

C/C++
C#
Go
Java
Kotlin（Beta）
JavaScript/TypeScript
Python
Ruby

サポートされていない言語のコードがリポジトリに含まれている場合は、後述の設定メニューで下記のようになり code scanning は有効化できません。

Languages on this repository are not compatible with this feature.

ちなみに今回は試しませんが、CodeQL の他にもサードパーティのコード分析エンジンを code scanning で使用することも可能です。

試してみた

設定、初回スキャン

次のクロスサイトスクリプティング（XSS）の脆弱性のある JavaScript コードサンプルを使用します。このサンプルでは、ユーザーからの入力（req.query.comment）をサニタイズせずに HTML に埋め込んでいます。これにより、悪意のあるスクリプトを埋め込むことができ、XSS 攻撃が可能になります。

client.js

const express = require('express');
const app = express();

app.get('/', (req, res) => {
  const userComment = req.query.comment || '';
  res.send(`<html><body><h1>User comment: ${userComment}</h1></body></html>`);
});

app.listen(3000, () => {
  console.log('Server listening on port 3000');
});

このサンプルを GitHub リポジトリにプッシュします。

code scanning の構成メニューは、[Settings > Security > Code security and analysis > Code scanning] よりアクセスできます。

[Set up]をクリックすると、Default または Advanced を選択できます。今回は Default を選択してみます。

[CodeQL default configuration] ダイアログが表示されます。分析される言語として JavaScript が検出されており、またスキャンが行われるイベントは「プッシュ時」および「main ブランチへのプルリクエスト」となっています。[Enable codeQL] をクリックして、code scanning を有効にします。