Nasza strona używa cookies. Korzystając ze strony, wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Rozumiem

Funkcja skanowania kodu od GitHuba już ogólnie dostępna

Po udanej wersji beta z maja 2020 roku, funkcja skanowania kodu od GitHuba jest już teraz ogólnie dostępna.
Funkcja skanowania kodu od GitHuba już ogólnie dostępna

Skanowanie kodu GitHuba wyszło właśnie z fazy beta i jest teraz ogólnie dostępne. Technologia ta była częścią zakupu Semmle, czyli dostawcy platformy do analizy kodu, którego GitHub dokonał w 2019 roku. Skanowanie kodu jest oparte na CodeQL — narzędziu, z którego korzysta wiele zespołów badających bezpieczeństwo do semantycznej analizy kodu. Narzędzie to stało się open source w momencie zakupu Semmle. 


Jak działa skanowanie kodu

Celem nowej funkcji jest przede wszystkim pomoc developerom w zapobieganiu problemów z bezpieczeństwem kodu. Co więcej, zamiast wysyłać przytłaczające sugestie z lintera, nowa analiza kodu domyślnie uruchamia tylko aktywne reguły bezpieczeństwa, dzięki czemu można skupić się na wykonywanym w danym momencie zadaniu — praca wydaje się zatem o wiele łatwiejsza. 

Skanowanie kodu jest zintegrowane z GitHub Actions lub z innym środowiskiem CI/CD, którego się aktualnie używa. Ma to na celu zmaksymalizowanie elastyczności zespołów. Funkcja skanuje kod w trakcie jego tworzenia i generuję oceny jego bezpieczeństwa z sugerowanymi działaniami w ramach pull requests, w celu zautomatyzowania zabezpieczeń w ramach pracy. 

Ogólnie chodzi w tym wszystkim o to, aby luki w kodzie nigdy nie trafiły na produkcję.


Skanowanie kodu GitHuba


Skanowanie jest oparte na otwartym SARIF (Static Analysis Results Interchange Format). Jest to standard interoperacyjny, który wykrywa wady oprogramowania i jego potencjalne luki w zabezpieczeniach. Skanowanie jest rozszerzalne, dzięki czemu można uwzględnić rozwiązania typu open source i komercyjne statyczne testy bezpieczeństwa aplikacji (SAST). Programiści mogą również zintegrować zewnętrzne silniki skanujące.


Liczby

GitHub chwali się też niektórymi wynikami. Od momentu wydania wersji beta w maju 2020 zeskanowano 12 000 repozytoriów 1,4 miliona razy. Co więcej, odnaleziono i naprawiono ponad 20 000 problemów z bezpieczeństwem, w tym remote code execution, wstrzykiwanie SQL oraz cross site scripting (XSS). 


Podsumowanie

Skanowanie kodu jest dostępne za darmo dla publicznych repozytoriów. Prywatne repozytoria można skanować za pomocą GitHub Enterprise przez GitHub Advanced Security. GitHub również zachęca do pomocy w zabezpieczaniu otwartego ekosystemu oraz dodania czegoś od siebie w rosnącej liczbie zapytać CodeQL.

Rozpocznij dyskusję

Lubisz dzielić się wiedzą i chcesz zostać autorem?

Podziel się wiedzą z 160 tysiącami naszych czytelników

Dowiedz się więcej