GitHub obtient une nouvelle fonctionnalité qui informera les utilisateurs de la plate-forme des failles de sécurité dans leur code. La fonction est appelée analyse de code, et il est disponible pour les comptes utilisateurs gratuits et payants.
La fonctionnalité a été annoncée pour la première fois lors de la conférence GitHub Satellite. Il est disponible pour les bêta-testeurs depuis mai. Depuis, plus que 1.4 millions de scans ont été effectués sur plus de 12,000 référentiels. Par conséquent, plus que 20,000 les vulnérabilités ont été identifiées. Les failles de sécurité découvertes incluent l'exécution de code à distance, Injection SQL, et problèmes de script intersite.
Quel est le but de l'analyse de code?
L'analyse de code empêche les vulnérabilités d'atteindre la production en analysant chaque pull request, commettre, et fusionner, GitHub dit. En faisant cela, la fonctionnalité peut reconnaître le code nuisible dès sa création. Si des vulnérabilités sont détectées, le développeur sera invité à réviser son code.
La fonctionnalité a été construite sur CodeQL, qui a été intégré à GitHub après l'acquisition de la plateforme d'analyse de code Semme l'année dernière. CodeQL est un «moteur d'analyse de code sémantique leader de l'industrie,”Gratuit pour la recherche et les projets open source. CodeQL stans pour le langage de requête de code, et il permet aux développeurs de créer des règles pour détecter différentes versions de la même faille dans de grandes bases de code.
Comment les utilisateurs de GitHub peuvent-ils configurer l'analyse de code?? Ils doivent accéder à l'onglet Sécurité de chaque référentiel pour lequel ils souhaitent activer la fonctionnalité. Là, Les requêtes CodeQL doivent être activées pour que GitHub puisse analyser leur code source. GitHub a créé plus de 2,000 requêtes prédéfinies permettant aux utilisateurs de vérifier automatiquement leur nouveau code pour les vulnérabilités.
Les utilisateurs peuvent également étendre l'analyse de code via des modèles CodeQL personnalisés. Ceux-ci sont écrits par les propriétaires du référentiel. Une autre option consiste à brancher des solutions tierces de test de sécurité d'applications statiques open source ou commerciales. (SAST).
CodeQL a déjà reçu 132 contributions de la communauté à ses ensembles de requêtes depuis sa publication initiale en mai.
En Juin, chercheurs en sécurité découverts malware dans les référentiels GitHub. Scanner appelé Octopus, le malware ciblait l'environnement de développement Apache NetBeans.