GitHub ha anunciado el lanzamiento de sus nuevos CodeQL Community Packs, una amplia colección de consultas y modelos diseñados para optimizar el análisis de código. Estos paquetes están concebidos para complementar el conjunto estándar de consultas de CodeQL, ofreciendo a los investigadores de seguridad y desarrolladores herramientas adicionales.


CodeQL es una potente herramienta de análisis semántico que permite a los desarrolladores explorar sus bases de código como si fueran bases de datos, lo cual es clave para identificar vulnerabilidades y yerros con eficiencia. Las consultas estándar de CodeQL priorizan la precisión y la minimización de falsos positivos, lo que las hace ideales para su uso en pipelines de integración continua/entrega continua (CI/CD). Sin embargo, cuando los avisos son manejadas por ingenieros de seguridad o investigadores, se puede modificar el balance hacia los falsos negativos, asegurando que ningún error pase desapercibido, aún si esto resulta en un mayor esfuerzo de clasificación.