GitHub sta ottenendo una nuova funzionalità che informerà gli utenti della piattaforma sulle falle di sicurezza nel loro codice. La funzione si chiama Scansione del codice, ed è disponibile sia per account utente gratuiti che a pagamento.
La funzione è stata annunciata per la prima volta durante la conferenza GitHub Satellite. È disponibile per i beta tester da maggio. Da allora, più di 1.4 milioni di scansioni sono state eseguite su oltre 12,000 repository. Di conseguenza, più di 20,000 sono state identificate le vulnerabilità. I difetti di sicurezza rilevati includono l'esecuzione di codice in modalità remota, SQL injection, e problemi di cross-site scripting.
Qual è lo scopo della scansione del codice?
La scansione del codice impedisce alle vulnerabilità di raggiungere la produzione analizzando ogni richiesta pull, commettere, e fondersi, Dice GitHub. Facendo questo, la funzione può riconoscere il codice dannoso non appena viene creata. Se vengono rilevate vulnerabilità, allo sviluppatore verrà richiesto di rivedere il proprio codice.
La funzionalità è stata costruita sopra CodeQL, che è stato integrato in GitHub dopo l'acquisizione della piattaforma di analisi del codice Semme l'anno scorso. CodeQL è un "motore di analisi del codice semantico leader del settore,"Gratuito per progetti di ricerca e open source. CodeQL prevede il linguaggio di query del codice, e consente agli sviluppatori di creare regole per rilevare varie versioni dello stesso difetto su basi di codice di grandi dimensioni.
In che modo gli utenti GitHub possono configurare la scansione del codice? Devono andare alla scheda Sicurezza di ogni repository a cui vogliono abilitare la funzione. Ci, Le query CodeQL devono essere abilitate in modo che GitHub possa scansionare il loro codice sorgente. GitHub ha creato più di 2,000 query predefinite per consentire agli utenti di controllare automaticamente le vulnerabilità del nuovo codice.
Gli utenti possono anche estendere la scansione del codice tramite modelli CodeQL personalizzati. Questi sono scritti dai proprietari del repository. Un'altra opzione è collegare soluzioni di test di sicurezza di applicazioni statiche commerciali o open source di terze parti (SAST).
CodeQL ha già ricevuto 132 contributi della comunità ai suoi set di query sin dal suo rilascio iniziale a maggio.
Nel mese di giugno, hanno scoperto i ricercatori della sicurezza malware nei repository GitHub. Chiamato Octopus Scanner, il malware stava prendendo di mira l'ambiente di sviluppo Apache NetBeans.