GitHub får en ny funktion, der vil informere platformens brugere om sikkerhedsfejl i deres kode. Funktionen kaldes Code Scanning, og den er tilgængelig for både gratis og betalte brugerkonti.
Funktionen blev først annonceret under GitHub Satellite-konferencen. Det har været tilgængeligt for betatestere siden maj. Siden da, mere end 1.4 millioner scanninger er udført på over 12,000 repositories. Som et resultat, mere end 20,000 sårbarheder er blevet identificeret. Opdagede sikkerhedsfejl inkluderer fjernudførelse af kode, SQL injektion, og scripting-problemer på tværs af websteder.
Hvad er formålet med kodescanning?
Kodescanning forhindrer sårbarheder i at nå frem til produktion ved at analysere hver pull-anmodning, begå, og fusionere, Siger GitHub. Ved at gøre dette, funktionen kan genkende skadelig kode, så snart den er oprettet. Hvis der opdages sårbarheder, udvikleren bliver bedt om at revidere deres kode.
Funktionen blev bygget oven på CodeQL, som blev integreret i GitHub efter at de erhvervede kodeanalyseplatformen Semme sidste år. CodeQL er en ”brancheførende semantisk kodeanalysemotor,”Gratis til forskning og open source-projekter. CodeQL stans for sprog til kodeforespørgsel, og det giver udviklere mulighed for at oprette regler for at opdage forskellige versioner af den samme fejl på tværs af store kodebaser.
Hvordan kan GitHub-brugere konfigurere kodescanning? De skal gå til fanen Sikkerhed i hvert arkiv, de vil have funktionen aktiveret. Der, CodeQL-forespørgsler skal aktiveres, så GitHub kan scanne deres kildekode. GitHub har oprettet mere end 2,000 foruddefinerede forespørgsler for brugerne til automatisk at kontrollere deres nye kode for sårbarheder.
Brugere kan også udvide kodescanning via tilpassede CodeQL-skabeloner. Disse er skrevet af arkivsejere. En anden mulighed er at tilslutte tredjeparts open source eller kommercielle statiske applikationssikkerhedstestløsninger (SAST).
CodeQL har allerede modtaget 132 samfundsbidrag til sine forespørgselssæt siden den første udgivelse i maj.
I juni, opdagede sikkerhedsforskere malware i GitHub-arkiver. Kaldet Octopus Scanner, malware var målrettet mod Apache NetBeans udviklingsmiljø.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: