Новая технология сканирования кода GitHub должна облегчить обнаружение недостатков безопасности
10 января 2023 г.GitHub теперь позволяет разработчикам сканировать свой код в поисках репозитория «настройки по умолчанию», что, как мы надеемся, поможет им выявить любые проблемы безопасности до их эскалации.
Об этой новой функции Github сообщает разработчики смогут настроить репозиторий автоматически и с минимальными усилиями.
Сканирование кода GitHub основано на его движке CodeQL, и, хотя он поддерживает широкий спектр компиляторов, пока эта функция доступна только для Python, JavaScript и Ruby. Это должно скоро измениться, сказал Уокер Чабботт из GitHub, поскольку к лету компания планирует расширить поддержку дополнительных языков.
Упрощение поиска ошибок
Тем, кто хочет протестировать новую функцию, следует открыть настройки своего репозитория, перейти к разделу «Безопасность и анализ кода» и щелкнуть раскрывающееся меню «Настроить». Там они найдут опцию «По умолчанию».
«Когда вы нажмете «По умолчанию», вы автоматически увидите сводку настроенной конфигурации, основанную на содержимом репозитория», — сказал Чабботт. в сообщении в блоге. «Сюда входят языки, обнаруженные в репозитории, пакеты запросов, которые будут использоваться, и события, запускающие сканирование. В будущем эти параметры можно будет настраивать».
После включения функции «Включить CodeQL» функция автоматически начнет искать недостатки в репозитории.
Механизм анализа кода CodeQL, напоминает BleepingComputer, был добавлен в платформу GitHub в сентябре 2019 года, после приобретения последней.
После года бета-тестирования в сентябре 2020 года было объявлено об общедоступности. На этапе бета-тестирования инструмент просканировал более 12 000 репозиториев 1,4 миллиона раз и обнаружил более 20 000 уязвимостей в системе безопасности. Некоторые из них были очень серьезными, в том числе удаленное выполнение кода (RCE), SQL-инъекция и межсайтовый скриптинг (XSS).
Сканирование кода бесплатно для всех, добавило издание, подчеркнув, что пользователи Enterprise также могут воспользоваться этим с помощью GitHub Advanced Security для GitHub Enterprise.
- Вот лучшие брандмауэры прямо сейчас
Через: BleepingComputer
Оригинал