O GitHub está recebendo um novo recurso que informará os usuários da plataforma sobre as falhas de segurança em seu código. O recurso é chamado de digitalização de código, e está disponível para contas de usuário gratuitas e pagas.
O recurso foi anunciado pela primeira vez durante a conferência GitHub Satellite. Está disponível para testadores beta desde maio. Desde então, mais que 1.4 milhões de varreduras foram realizadas em mais de 12,000 repositórios. Como um resultado, mais que 20,000 vulnerabilidades foram identificadas. As falhas de segurança descobertas incluem execução remota de código, injeção SQL, e problemas de script entre sites.
Qual é o propósito da digitalização de código?
A varredura de código evita que as vulnerabilidades atinjam a produção, analisando cada solicitação pull, comprometer, e fundir, GitHub diz. Ao fazer isso, o recurso pode reconhecer código nocivo assim que é criado. Se alguma vulnerabilidade for detectada, o desenvolvedor será solicitado a revisar seu código.
O recurso foi construído em cima do CodeQL, que foi integrado ao GitHub depois que eles adquiriram a plataforma de análise de código Semme no ano passado. CodeQL é um “motor de análise de código semântico líder da indústria,”Grátis para pesquisa e projetos de código aberto. CodeQL stans para linguagem de consulta de código, e permite que os desenvolvedores criem regras para detectar várias versões da mesma falha em grandes bases de código.
Como os usuários do GitHub podem configurar a digitalização de código? Eles precisam ir para a guia Segurança de cada repositório que eles desejam ter o recurso ativado. Lá, As consultas CodeQL devem ser ativadas para que o GitHub possa verificar seu código-fonte. GitHub criou mais de 2,000 consultas predefinidas para os usuários verificarem seu novo código em busca de vulnerabilidades automaticamente.
Os usuários também podem estender a varredura de código por meio de modelos personalizados de CodeQL. Estes são escritos pelos proprietários do repositório. Outra opção é conectar soluções de teste de segurança de aplicativos estáticos de código aberto ou comerciais de terceiros (SAST).
CodeQL já recebeu 132 contribuições da comunidade para seus conjuntos de consultas desde seu lançamento inicial em maio.
Em junho, pesquisadores de segurança descobriram malware em repositórios GitHub. Octopus Scanner chamado, o malware tinha como alvo o ambiente de desenvolvimento Apache NetBeans.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: