코드큐엘

코드큐엘

CodeQL

GitHub의 강력한 시맨틱 분석 엔진을 활용한 취약점 탐지 도구

부분 무료WebCLIAPI
웹사이트 방문하기codeql.github.com

검증된 사실

라이브 가격
Free · 무료2026-06-20 확인
GitHub
★ 9,692
최근 변경
2026-06-10 CodeQL의 증분(Incremental) 분석 기능이 Go, C/C++ 및 CodeQL CLI 환경까지 확장되어 풀 리퀘스트 보안 스캔 속도가 최대 80% 단축되었습니다. 소스: https://

2026-06-20 직접 확인 · 자동 검증 데이터

제품 화면

코드큐엘 제품 화면

2026-06-20 확인

가격 정보

부분 무료시작 가격: Free (public repos) / $30/active committer/mo (private)라이브 확인 2026-06-20

오픈 소스 프로젝트에는 무료로 제공되지만, 비공개 저장소에서 사용하려면 GitHub Advanced Security(GHAS) 구독이 필요하다. GHAS는 사용자당 월 $49의 비용이 발생하며, 2025년 4월부터는 코드 보안 기능만 별도로 월 $30에 구독할 수 있도록 가격 체계가 개편될 예정이다.

가격표 확인하기

최근 업데이트와 소식

  • 버전 업데이트
    GitHub, Incremental CodeQL 분석 GA — PR 스캔 80% 단축

    GitHub가 Incremental CodeQL Analysis를 정식 출시했습니다. PR에서 변경된 코드만 분석해 전체 저장소 기준 대비 스캔 시간을 최대 80% 단축하며, GPU 가속 그래프 처리로 포인터 추적·도달성 분석을 병렬 가속기로 오프로드합니다.

    근거: 2026년 3월 24일 GitHub가 PR 변경분만 분석해 스캔을 최대 80% 단축하는 Incremental CodeQL Analysis를 GA로 출시했습니다.

  • 버전 업데이트
    GitHub, AI 작성 코드 취약점 탐지 쿼리 팩 추가

    GitHub가 AI 기반 보안 탐지를 확장하고, CodeQL에 AI가 작성한 코드의 흔한 취약점(안전하지 않은 역직렬화, 환각 라이브러리 호출, 논리 결함)을 잡는 전용 쿼리 팩을 추가했습니다. Shell·Dockerfile·Terraform·PHP 등 기존 미커버 언어로도 확장됩니다.

    근거: [APPROX_DATE] 2026년 3월 GitHub가 AI 작성 코드 취약점 탐지 쿼리 팩과 Shell·Terraform 등 확장 스캔을 발표했습니다.

  • 버전 업데이트
    CodeQL 2.24.0 출시 — Swift 6.2·.NET 10 지원

    CodeQL 2.24.0이 출시됐습니다. Swift 6.2 지원과 .NET 10 호환성을 추가하고, 압축(minified) JavaScript 파일 처리를 개선했습니다.

    근거: 2026년 1월 29일 CodeQL 2.24.0이 Swift 6.2·.NET 10 지원과 minified JS 파일 처리 개선을 담아 출시됐습니다.

소개AI 요약

CodeQL은 GitHub에서 제공하는 업계 표준 시맨틱 코드 분석 엔진으로, 코드를 데이터베이스로 변환하여 복잡한 보안 취약점을 쿼리 방식으로 탐지합니다. 변수의 데이터 흐름과 오염 경로를 정밀하게 추적하며, GitHub Copilot 연동을 통한 AI 기반 자동 수정(Autofix) 기능을 제공합니다. 전 세계 보안 연구자들이 공유하는 방대한 쿼리 라이브러리를 즉시 활용할 수 있습니다.

활용 워크플로우

입력

GitHub/GitLab/Azure DevOps 저장소 소스 코드빌드 로그 및 컴파일 아티팩트 (C/C++, Java, C# 등)사용자 정의 QL 쿼리 팩 (.ql 파일)외부 위협 인텔리전스 및 보안 정책 설정

코드큐엘

CodeQL Extractor를 통한 코드의 추상 구문 트리(AST) 및 제어 흐름 추출코드의 모든 관계를 담은 시맨틱 관계형 데이터베이스(CodeQL DB) 생성글로벌 데이터 흐름 분석(Data Flow Analysis)을 통한 변수 상태 추적소스(Source)에서 싱크(Sink)까지의 오염 경로를 검증하는 변수 오염 분석(Taint Analysis)

출력

SARIF 표준 형식의 정밀 보안 분석 리포트GitHub Security 탭 내 인터랙티브 취약점 경고 및 경로 시각화AI(Copilot) 기반의 취약점 자동 수정 코드 제안(Autofix)CI/CD 파이프라인 중단 또는 승인 결정을 위한 보안 게이트 통과 결과

보안 연구원의 제로데이 변종 추적

발견된 취약점을 QL 쿼리로 구조화하여 전사적 또는 오픈소스 생태계 전체에서 유사한 논리적 오류를 일괄 탐색합니다.

AI 기반 시맨틱 쿼리 생성

GitHub Copilot을 활용하여 복잡한 QL 문법을 직접 작성하지 않고도 자연어로 특정 보안 규칙을 생성하고 적용합니다.

엔터프라이즈 데브섹옵스(DevSecOps) 통합

기업 고유의 코딩 컨벤션 및 규제 준수 여부를 검사하는 커스텀 쿼리를 작성하여 PR 검사 단계에 강제 적용합니다.

핵심 차별점: 코드를 쿼리 가능한 데이터베이스로 변환하여 단순 패턴 매칭이 불가능한 복잡한 데이터 전파 경로와 논리 결함을 시맨틱 수준에서 탐지합니다.

주요 기능AI 요약

  • 시맨틱 코드 분석 — 코드를 데이터베이스로 변환하여 쿼리 기반 취약점 탐지
  • 증분 분석(2026-03) — PR 변경 코드만 분석하여 스캔 시간 최대 80% 단축
  • 모델-as-데이터 — 코드 없이 YAML로 커스텀 샌니타이저·검증기 정의
  • 다언어 지원 — C/C++·C#·Go·Java/Kotlin·JS/TS·Python·Ruby·Rust 등
  • Copilot Autofix 통합 — 보안 취약점 자동 수정 제안

활용 사례AI 요약

  • CI/CD 파이프라인 보안 취약점 자동 스캔
  • 커스텀 보안 정책 및 규정 준수 검사
  • 오픈소스 프로젝트 취약점 연구

사용자 리뷰

리뷰를 불러오는 중...

대안 도구

이 도구 대신 사용할 수 있는 대안