GitHubは、プラットフォームのユーザーにコードのセキュリティ上の欠陥について通知する新機能を取得しています. この機能はコードスキャンと呼ばれます, 無料と有料の両方のユーザーアカウントで利用できます.
この機能は、GitHub衛星会議で最初に発表されました. 5月からベータテスターが利用できるようになりました. それ以来, より多い 1.4 100万回以上のスキャンが実行されました 12,000 リポジトリ. 結果として, より多い 20,000 脆弱性が特定されました. 発見されたセキュリティ上の欠陥には、リモートでコードが実行されることが含まれます, SQLインジェクション, およびクロスサイトスクリプティングの問題.
コードスキャンの目的は何ですか?
コードスキャンは、すべてのプルリクエストを分析することにより、脆弱性が本番環境に到達するのを防ぎます, 専念, マージします, GitHubは言う. これを行うことによって, この機能は、作成されるとすぐに有害なコードを認識できます. 脆弱性が検出された場合, 開発者はコードを修正するように求められます.
この機能はCodeQLの上に構築されました, 昨年コード分析プラットフォームSemmeを買収した後、GitHubに統合されました. CodeQLは、「業界をリードするセマンティックコード分析エンジン」です。,」研究およびオープンソースプロジェクトは無料. コードクエリ言語のCodeQLスタン, また、開発者は、大規模なコードベース全体で同じ欠陥のさまざまなバージョンを検出するためのルールを作成できます。.
GitHubユーザーはコードスキャンをどのように構成できますか? 機能を有効にしたい各リポジトリの[セキュリティ]タブに移動する必要があります. そこには, GitHubがソースコードをスキャンできるように、CodeQLクエリを有効にする必要があります. GitHubは以上のものを作成しました 2,000 ユーザーが新しいコードの脆弱性を自動的にチェックするための事前定義されたクエリ.
ユーザーは、カスタムCodeQLテンプレートを介してコードスキャンを拡張することもできます. これらはリポジトリの所有者によって書かれています. もう1つのオプションは、サードパーティのオープンソースまたは商用の静的アプリケーションセキュリティテストソリューションをプラグインすることです。 (SAST).
CodeQLはすでに受け取っています 132 5月の最初のリリース以降、クエリセットへのコミュニティの貢献.
六月に, セキュリティ研究者が発見 GitHubリポジトリのマルウェア. タコスキャナーと呼ばれる, マルウェアはApacheNetBeans開発環境を標的にしていました.