Новая технология сканирования кода GitHub должна облегчить обнаружение недостатков безопасности

Новая технология сканирования кода GitHub должна облегчить обнаружение недостатков безопасности

10 января 2023 г.

GitHub теперь позволяет разработчикам сканировать свой код в поисках репозитория «настройки по умолчанию», что, как мы надеемся, поможет им выявить любые проблемы безопасности до их эскалации.

Об этой новой функции Github сообщает разработчики смогут настроить репозиторий автоматически и с минимальными усилиями.

Сканирование кода GitHub основано на его движке CodeQL, и, хотя он поддерживает широкий спектр компиляторов, пока эта функция доступна только для Python, JavaScript и Ruby. Это должно скоро измениться, сказал Уокер Чабботт из GitHub, поскольку к лету компания планирует расширить поддержку дополнительных языков.

Упрощение поиска ошибок

Тем, кто хочет протестировать новую функцию, следует открыть настройки своего репозитория, перейти к разделу «Безопасность и анализ кода» и щелкнуть раскрывающееся меню «Настроить». Там они найдут опцию «По умолчанию».

«Когда вы нажмете «По умолчанию», вы автоматически увидите сводку настроенной конфигурации, основанную на содержимом репозитория», — сказал Чабботт. в сообщении в блоге. «Сюда входят языки, обнаруженные в репозитории, пакеты запросов, которые будут использоваться, и события, запускающие сканирование. В будущем эти параметры можно будет настраивать».

После включения функции «Включить CodeQL» функция автоматически начнет искать недостатки в репозитории.

Механизм анализа кода CodeQL, напоминает BleepingComputer, был добавлен в платформу GitHub в сентябре 2019 года, после приобретения последней.

После года бета-тестирования в сентябре 2020 года было объявлено об общедоступности. На этапе бета-тестирования инструмент просканировал более 12 000 репозиториев 1,4 миллиона раз и обнаружил более 20 000 уязвимостей в системе безопасности. Некоторые из них были очень серьезными, в том числе удаленное выполнение кода (RCE), SQL-инъекция и межсайтовый скриптинг (XSS).

Сканирование кода бесплатно для всех, добавило издание, подчеркнув, что пользователи Enterprise также могут воспользоваться этим с помощью GitHub Advanced Security для GitHub Enterprise.

Через: BleepingComputer


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE