GitHub erhält eine neue Funktion, die die Benutzer der Plattform über Sicherheitslücken in ihrem Code informiert. Die Funktion wird als Code-Scannen bezeichnet, und es ist sowohl für kostenlose als auch für kostenpflichtige Benutzerkonten verfügbar.
Das Feature wurde erstmals während der GitHub Satellite-Konferenz angekündigt. Es steht Betatestern seit Mai zur Verfügung. Seit damals, mehr als 1.4 Millionen Scans wurden durchgeführt 12,000 Repositorys. Infolge, mehr als 20,000 Schwachstellen wurden identifiziert. Zu den entdeckten Sicherheitslücken gehört die Remotecodeausführung, SQL-Injection, und Cross-Site-Scripting-Probleme.
Was ist der Zweck des Code-Scannens??
Durch das Scannen von Code wird verhindert, dass Schwachstellen die Produktion erreichen, indem jede Pull-Anforderung analysiert wird, verpflichten, und verschmelzen, GitHub sagt. Dadurch, Die Funktion kann schädlichen Code erkennen, sobald er erstellt wird. Wenn Schwachstellen erkannt werden, Der Entwickler wird aufgefordert, seinen Code zu überarbeiten.
Die Funktion wurde auf CodeQL aufgebaut, Dies wurde in GitHub integriert, nachdem sie letztes Jahr die Code-Analyse-Plattform Semme erworben hatten. CodeQL ist eine branchenführende semantische Code-Analyse-Engine,”Kostenlos für Forschung und Open-Source-Projekte. CodeQL-Standards für die Code-Abfragesprache, Außerdem können Entwickler Regeln erstellen, um verschiedene Versionen desselben Fehlers in großen Codebasen zu erkennen.
Wie können GitHub-Benutzer das Scannen von Code konfigurieren?? Sie müssen die Registerkarte Sicherheit jedes Repositorys aufrufen, für das die Funktion aktiviert werden soll. Da, CodeQL-Abfragen sollten aktiviert sein, damit GitHub ihren Quellcode scannen kann. GitHub hat mehr als erstellt 2,000 vordefinierte Abfragen für Benutzer, um ihren neuen Code automatisch auf Schwachstellen zu überprüfen.
Benutzer können das Scannen von Code auch über benutzerdefinierte CodeQL-Vorlagen erweitern. Diese werden von Repository-Eigentümern geschrieben. Eine weitere Option besteht darin, Open-Source- oder kommerzielle statische Anwendungssicherheitstestlösungen von Drittanbietern anzuschließen (SAST).
CodeQL hat bereits erhalten 132 Community-Beiträge zu seinen Abfragesätzen seit seiner ersten Veröffentlichung im Mai.
Im Juni, Sicherheitsforscher entdeckt Malware in GitHub-Repositorys. Octopus Scanner genannt, Die Malware zielte auf die Apache NetBeans-Entwicklungsumgebung ab.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: