GitHub está obteniendo una nueva función que informará a los usuarios de la plataforma sobre fallas de seguridad en su código.. La función se llama escaneo de código, y está disponible para cuentas de usuario gratuitas y de pago.
La función se anunció por primera vez durante la conferencia GitHub Satellite.. Ha estado disponible para probadores beta desde mayo. Desde entonces, más que 1.4 millones de escaneos se han realizado en más de 12,000 repositorios. Como resultado, más que 20,000 se han identificado vulnerabilidades. Las fallas de seguridad descubiertas incluyen la ejecución remota de código, Inyección SQL, y problemas de secuencias de comandos entre sitios.
¿Cuál es el propósito del escaneo de código??
El escaneo de código evita que las vulnerabilidades lleguen a producción al analizar cada solicitud de extracción, cometer, y fusionar, GitHub dice. Al hacer esto, la función puede reconocer código dañino tan pronto como se crea. Si se detecta alguna vulnerabilidad, se le pedirá al desarrollador que revise su código.
La función se creó sobre CodeQL, que se integró en GitHub después de que adquirieron la plataforma de análisis de código Semme el año pasado. CodeQL es un “motor de análisis de código semántico líder en la industria,”Gratis para proyectos de investigación y de código abierto. Stans de CodeQL para el lenguaje de consulta de código, y permite a los desarrolladores crear reglas para detectar varias versiones del mismo defecto en grandes bases de código.
¿Cómo pueden los usuarios de GitHub configurar el escaneo de código?? Deben ir a la pestaña Seguridad de cada repositorio en el que quieran tener la función habilitada. Hay, Las consultas de CodeQL deben estar habilitadas para que GitHub pueda escanear su código fuente. GitHub ha creado más de 2,000 consultas predefinidas para que los usuarios verifiquen su nuevo código en busca de vulnerabilidades automáticamente.
Los usuarios también pueden ampliar el escaneo de código a través de plantillas CodeQL personalizadas. Estos están escritos por los propietarios del repositorio.. Otra opción es conectar soluciones de prueba de seguridad de aplicaciones estáticas comerciales o de código abierto de terceros. (SAST).
CodeQL ya ha recibido 132 contribuciones de la comunidad a sus conjuntos de consultas desde su lanzamiento inicial en mayo.
En junio, investigadores de seguridad descubiertos malware en repositorios de GitHub. Escáner de pulpo llamado, el malware tenía como objetivo el entorno de desarrollo Apache NetBeans.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: