GitHub krijgt een nieuwe functie die de gebruikers van het platform informeert over beveiligingsfouten in hun code. De functie heet Code Scanning, en het is beschikbaar voor zowel gratis als betaalde gebruikersaccounts.
De functie werd voor het eerst aangekondigd tijdens de GitHub Satellite-conferentie. Het is sinds mei beschikbaar voor bètatesters. Vanaf dat moment, meer dan 1.4 miljoen scans zijn uitgevoerd op meer dan 12,000 repositories. Dientengevolge, meer dan 20,000 kwetsbaarheden zijn geïdentificeerd. Gevonden beveiligingsfouten zijn onder meer het uitvoeren van externe code, SQL-injectie, en cross-site scripting problemen.
Wat is het doel van codescanning?
Code Scanning voorkomt dat kwetsbaarheden in productie komen door elk pull-verzoek te analyseren, begaan, en samenvoegen, GitHub zegt. Door dit te doen, de functie kan schadelijke code herkennen zodra deze is gemaakt. Als er kwetsbaarheden worden gedetecteerd, de ontwikkelaar wordt gevraagd om zijn code te herzien.
De functie is bovenop CodeQL gebouwd, die werd geïntegreerd in GitHub nadat ze vorig jaar het code-analyseplatform Semme hadden overgenomen. CodeQL is een "toonaangevende engine voor semantische codeanalyse",”Gratis voor onderzoek en open-sourceprojecten. CodeQL staat voor codequerytaal, en het stelt ontwikkelaars in staat om regels te maken om verschillende versies van dezelfde fout in grote codebases te detecteren.
Hoe kunnen GitHub-gebruikers codescanning configureren? Ze moeten naar het tabblad Beveiliging gaan van elke repository waarvan ze de functie willen hebben ingeschakeld. Er, CodeQL-query's moeten worden ingeschakeld zodat GitHub hun broncode kan scannen. GitHub heeft meer dan 2,000 vooraf gedefinieerde zoekopdrachten voor gebruikers om hun nieuwe code automatisch op kwetsbaarheden te controleren.
Gebruikers kunnen codescanning ook uitbreiden via aangepaste CodeQL-sjablonen. Deze zijn geschreven door eigenaren van opslagplaatsen. Een andere optie is om open-source of commerciële testoplossingen voor statische applicaties van derden in te pluggen (SAST).
CodeQL heeft al ontvangen 132 bijdragen van de community aan de queries sinds de eerste release in mei.
In juni, ontdekten beveiligingsonderzoekers malware in GitHub-opslagplaatsen. Octopus Scanner genoemd, de malware was gericht op de ontwikkelomgeving van Apache NetBeans.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: