Bajada
GitHub publicó CodeQL 2.25.2 con soporte para Kotlin 2.3.20, reducción de falsos positivos en varios lenguajes y recalibración de severidades para reglas de XSS e inyección de logs. Para equipos DevOps y AppSec, el cambio impacta directamente en priorización, métricas y gobernanza del pipeline de seguridad.
Introducción
En muchos equipos de ingeniería, el mayor problema de seguridad en CI/CD ya no es la falta de escaneo, sino el ruido. Cuando una herramienta marca demasiado, los flujos de revisión se vuelven lentos, los tableros pierden señal y se termina priorizando por intuición en lugar de por riesgo. En ese contexto, los cambios de motor y de metadatos en una plataforma como CodeQL no son cosméticos: afectan tiempos de triage, deuda de remediación y la confiabilidad de los controles de salida a producción.
GitHub anunció la versión CodeQL 2.25.2 con un paquete de ajustes que combina soporte de lenguaje, correcciones de precisión y cambios en severidad de múltiples consultas de seguridad. Para organizaciones que dependen de code scanning como control preventivo o de cumplimiento, la actualización merece una revisión técnica y operativa, no solo un “upgrade” automático.
Qué ocurrió
El 15 de abril de 2026, GitHub publicó la actualización CodeQL 2.25.2. Según el changelog oficial, esta versión añade soporte para Kotlin 2.3.20, incorpora mejoras que reducen falsos positivos en consultas de Java/Kotlin, C/C++ y C#, y recalibra puntuaciones @security-severity para distintas reglas en C/C++, C#, Go, Java/Kotlin, Python, Ruby, Swift y Rust.
Además, el changelog técnico de CodeQL detalla que la suite Default ejecuta 492 consultas de seguridad (cobertura de 166 CWE) y que en esta release se añadió una consulta de seguridad adicional. En paralelo, el ecosistema de ejecución también se movió: el changelog de codeql-action reflejó la actualización del bundle por defecto a la versión 2.25.2.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
El impacto principal está en la gobernanza del riesgo dentro del pipeline. Cuando cambian severidades de consultas, cambian también umbrales de política, filtros de dashboards, SLAs internos y prioridades de remediación. Un hallazgo que ayer era “medio” y hoy es “alto” puede alterar automáticamente tableros ejecutivos, métricas de sprint y bloqueos de merge en ramas protegidas.
También hay un impacto directo en la productividad de equipos AppSec y de desarrollo: la reducción de falsos positivos en consultas frecuentes (por ejemplo, criptografía débil mal detectada en casos modernos o patrones aritméticos seguros en validaciones de límites) disminuye fricción en revisiones y ayuda a recuperar confianza en los resultados. En términos prácticos, menos ruido implica menos excepciones manuales, menos discusiones repetidas y menor fatiga operativa.
Para entornos híbridos con GitHub.com y GHES, aparece un tercer frente: la sincronización de versiones. Si parte de la organización depende de bundles locales o entornos aislados, el ritmo de adopción puede desalinearse, generando diferencias de cobertura entre repositorios aparentemente equivalentes.
Detalles técnicos
Entre los cambios más relevantes de 2.25.2 destacan:
- Soporte de lenguaje: análisis para Kotlin hasta la versión 2.3.20.
- Menos falsos positivos en Java/Kotlin: ajustes en
java/tainted-arithmeticpara no marcar patrones de bounds checking válidos y refinamiento dejava/potentially-weak-cryptographic-algorithmpara no clasificar como débiles algoritmos modernos (por ejemplo, variantes EC, HMAC o PBKDF2). - Mejoras en C/C++: correcciones en consultas de formato, uso de
sizeofy conversiones aritméticas que antes podían inflar alertas en escenarios build-mode: none. - Ajustes en C#: simplificación de
cs/constant-conditiony eliminación de una consulta redundante, con foco en señal útil. - Recalibración de severidades: varias reglas de XSS suben de 6.1 a 7.8, mientras algunas de inyección de logs bajan de 7.8 a 6.1 según lenguaje.
En términos de operación de plataforma, estos cambios no solo afectan el “qué” detecta CodeQL, sino el “cómo” se interpreta en decisiones automáticas. Si una organización usa puertas de calidad por severidad, esta versión puede modificar resultados sin que el código de aplicación haya cambiado.
Qué deberían hacer los administradores o equipos técnicos
- Congelar una línea base corta: comparar 7 a 14 días de alertas antes y después de la actualización para identificar variaciones por cambio de motor y no por cambio de código.
- Revisar reglas de bloqueo: validar políticas de merge y despliegue que dependan de severidad para evitar bloqueos inesperados tras la recalibración.
- Actualizar documentación interna: registrar explícitamente qué versión de CodeQL usa cada entorno (GitHub.com, GHES conectado, GHES aislado) y su plan de sincronización.
- Auditar excepciones históricas: algunos falsos positivos antiguos pueden quedar obsoletos; conviene depurar supresiones y justificativos heredados.
- Coordinar con AppSec y squads: comunicar qué consultas cambiaron de severidad y cómo impacta en SLAs de remediación para evitar ruido organizacional.
Como recomendación práctica, vale ejecutar una ventana de observación donde los hallazgos nuevos se midan en paralelo a las reglas vigentes antes de aplicar endurecimientos adicionales en el pipeline.
Conclusión
CodeQL 2.25.2 no es una release “silenciosa”: introduce cambios concretos que mejoran precisión y modernizan cobertura, pero también puede mover métricas y prioridades en equipos que gobiernan seguridad por severidad. Para DevOps y Platform Engineering, el valor está en tratar esta actualización como un cambio operativo controlado: medir, ajustar políticas y sincronizar entornos.
En un escenario donde la seguridad de software depende cada vez más de automatización continua, la diferencia entre una herramienta útil y una fuente de fricción suele estar en estos detalles de precisión y clasificación. Esta versión avanza en esa dirección, siempre que se acompañe con gobernanza técnica.
Fuentes
- GitHub Changelog: CodeQL 2.25.2
- CodeQL CLI 2.25.2 changelog técnico
- Documentación de Code Scanning con CodeQL