GitHub представил новую функцию безопасности для сканирования кода

Чт 1 Октябрь 2020 09:05

Web-сервис для хостинга IT-проектов и их совместной разработки GitHub представил новую функцию безопасности под названием Code Scanning («Сканирование кода») для всех пользователей, как платных, так и бесплатных.

Новая функция «Сканирование кода» помогает предотвратить попадание уязвимостей в рабочую среду, анализируя каждый запрос на принятие изменений, фиксацию и слияние — распознавая уязвимый код сразу после его создания. После обнаружения уязвимостей функция предлагает разработчику изменить свой код.

Нововведение работает на базе технологии CodeQL, которую GitHub интегрировал в свою платформу после того, как в сентябре 2019 года приобрел платформу анализа кода Semmle. CodeQL представляет собой аналитический движок, позволяющий разработчикам писать правила для обнаружения разных версий одной и той же уязвимости в больших базах кода.

Для настройки функции «Сканирование кода» пользователи должны перейти на вкладку «Безопасность» каждого репозитория, в котором она должна быть включена.

«Сканирование кода» также можно расширить с помощью настраиваемых шаблонов CodeQL, написанных владельцами репозиториев, или путем подключения статического тестирования защищенности приложений (Static Application Security Testing, SAST) или сторонних приложений с открытым исходным кодом.

Новая функция была доступна для бета-тестеров GitHub еще с мая нынешнего года. С тех пор, по словам представителей GitHub, она была использована для выполнения более 1,4 млн сканирований более чем 12 тыс. репозиториев и выявила более 20 тыс. уязвимостей, включая уязвимости удаленного выполнения кода, SQL-инъекций и выполнения межсайтовых сценариев.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 214 дней 23 часа 29 минут 20 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.