Функция сканирования кода для выявления уязвимостей на GitHub стала доступна для всех

Разработчики GitHub объявили о запуске новой функции Code Scanning, которая позволяет проверить код на предмет уязвимостей. Раньше новинка работала в тестовом режиме (с мая 2020 года), но теперь стала доступна всех пользователей, как платных, так и бесплатных. Включить новую функцию можно во вкладке Security.

GitHub сообщает, что новая функция «помогает предотвратить попадание уязвимостей в рабочую среду, анализируя каждый pull request, коммит и слияние, распознавая уязвимый код сразу после его создания». Если уязвимости будут обнаружены, сканер предложит разработчику пересмотреть свой код.

Code Scanning работает поверх CodeQL — технологии, которую GitHub интегрировала в свою платформу после того, как в сентябре 2019 года приобрела аналитическую платформу Semmle. По сути это позволит разработчикам создавать правила для обнаружения разных версий одного и того же бага в больших массивах кода.

Специалисты GitHub уже создали 2000 предопределенных запросов CodeQL, которые пользователи могут использовать для своих репозиториев и автоматически проверить наличие самых основных уязвимостей в новом коде. Кроме того, сканер можно дополнить настраиваемыми шаблонами CodeQL, написанными владельцами репозиториев, или путем подключения сторонних опенсорсных решений или коммерческих SAST-продуктов.

По информации GitHub, новая функция уже использовалась более чем для 1,4 миллиона сканирований 12 000 репозиториев и помогла выявить свыше 20000 уязвимостей, включая уязвимости удаленного выполнения кода (RCE), SQL-инъекции и межсайтовый скриптинг (XSS).

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы