Следующая новость
Предыдущая новость

Функция сканирования кода для выявления уязвимостей на GitHub стала доступна для всех

01.10.2020 22:42
Функция сканирования кода для выявления уязвимостей на GitHub стала доступна для всех

Рекомендуем почитать:

Xakep #257. Pivoting

  • Содержание выпуска
  • Подписка на «Хакер»

Разработчики GitHub объявили о запуске новой функции Code Scanning, которая позволяет проверить код на предмет уязвимостей. Раньше новинка работала в тестовом режиме (с мая 2020 года), но теперь стала доступна всех пользователей, как платных, так и бесплатных. Включить новую функцию можно во вкладке Security.

Функция сканирования кода для выявления уязвимостей на GitHub стала доступна для всех

GitHub сообщает, что новая функция «помогает предотвратить попадание уязвимостей в рабочую среду, анализируя каждый pull request, коммит и слияние, распознавая уязвимый код сразу после его создания». Если уязвимости будут обнаружены, сканер предложит разработчику пересмотреть свой код.

Code Scanning работает поверх CodeQL — технологии, которую GitHub интегрировала в свою платформу после того, как в сентябре 2019 года приобрела аналитическую платформу Semmle. По сути это позволит разработчикам создавать правила для обнаружения разных версий одного и того же бага в больших массивах кода.

Специалисты GitHub уже создали 2000 предопределенных запросов CodeQL, которые пользователи могут использовать для своих репозиториев и автоматически проверить наличие самых основных уязвимостей в новом коде. Кроме того, сканер можно дополнить настраиваемыми шаблонами CodeQL, написанными владельцами репозиториев, или путем подключения сторонних опенсорсных решений или коммерческих SAST-продуктов.

По информации GitHub, новая функция уже использовалась более чем для 1,4 миллиона сканирований 12 000 репозиториев и помогла выявить свыше 20000 уязвимостей, включая уязвимости удаленного выполнения кода (RCE), SQL-инъекции и межсайтовый скриптинг (XSS).

Источник

Последние новости