코드큐엘
CodeQL
GitHub의 강력한 시맨틱 분석 엔진을 활용한 취약점 탐지 도구
소개
활용 워크플로우
입력
코드큐엘
출력
보안 연구원의 제로데이 변종 추적
발견된 취약점을 QL 쿼리로 구조화하여 전사적 또는 오픈소스 생태계 전체에서 유사한 논리적 오류를 일괄 탐색합니다.
AI 기반 시맨틱 쿼리 생성
GitHub Copilot을 활용하여 복잡한 QL 문법을 직접 작성하지 않고도 자연어로 특정 보안 규칙을 생성하고 적용합니다.
엔터프라이즈 데브섹옵스(DevSecOps) 통합
기업 고유의 코딩 컨벤션 및 규제 준수 여부를 검사하는 커스텀 쿼리를 작성하여 PR 검사 단계에 강제 적용합니다.
핵심 차별점: 코드를 쿼리 가능한 데이터베이스로 변환하여 단순 패턴 매칭이 불가능한 복잡한 데이터 전파 경로와 논리 결함을 시맨틱 수준에서 탐지합니다.
주요 기능
- 시맨틱 코드 분석
- AI 기반 자동 수정(Autofix)
- 데이터 흐름 및 변수 오염 분석
- GitHub Copilot 연동 쿼리 작성
- GitHub Advanced Security 통합
- 멀티 랭귀지 지원(Swift 포함)
가격 정보
오픈 소스 프로젝트에는 무료로 제공되지만, 비공개 저장소에서 사용하려면 GitHub Advanced Security(GHAS) 구독이 필요하다. GHAS는 사용자당 월 $49의 비용이 발생하며, 2025년 4월부터는 코드 보안 기능만 별도로 월 $30에 구독할 수 있도록 가격 체계가 개편될 예정이다.
활용 사례
- 제로데이 취약점 탐지
- 보안 취약점 변종 추적
- CI/CD 보안 자동화
- 코드 베이스의 논리적 오류 검색
대상 사용자
연동 서비스
태그
최근 소식
- 버전 업데이트GitHub, Incremental CodeQL 분석 GA — PR 스캔 80% 단축
GitHub가 Incremental CodeQL Analysis를 정식 출시했습니다. PR에서 변경된 코드만 분석해 전체 저장소 기준 대비 스캔 시간을 최대 80% 단축하며, GPU 가속 그래프 처리로 포인터 추적·도달성 분석을 병렬 가속기로 오프로드합니다.
근거: 2026년 3월 24일 GitHub가 PR 변경분만 분석해 스캔을 최대 80% 단축하는 Incremental CodeQL Analysis를 GA로 출시했습니다.
- 버전 업데이트GitHub, AI 작성 코드 취약점 탐지 쿼리 팩 추가
GitHub가 AI 기반 보안 탐지를 확장하고, CodeQL에 AI가 작성한 코드의 흔한 취약점(안전하지 않은 역직렬화, 환각 라이브러리 호출, 논리 결함)을 잡는 전용 쿼리 팩을 추가했습니다. Shell·Dockerfile·Terraform·PHP 등 기존 미커버 언어로도 확장됩니다.
근거: [APPROX_DATE] 2026년 3월 GitHub가 AI 작성 코드 취약점 탐지 쿼리 팩과 Shell·Terraform 등 확장 스캔을 발표했습니다.
- 버전 업데이트CodeQL 2.24.0 출시 — Swift 6.2·.NET 10 지원
CodeQL 2.24.0이 출시됐습니다. Swift 6.2 지원과 .NET 10 호환성을 추가하고, 압축(minified) JavaScript 파일 처리를 개선했습니다.
근거: 2026년 1월 29일 CodeQL 2.24.0이 Swift 6.2·.NET 10 지원과 minified JS 파일 처리 개선을 담아 출시됐습니다.
사용자 리뷰
리뷰를 불러오는 중...
대안 도구
이 도구 대신 사용할 수 있는 대안
