Бесплатно Экспресс-аудит сайта:

02.10.2020

GitHub представил новую функцию безопасности для сканирования кода

Web-сервис для хостинга IT-проектов и их совместной разработки GitHub представил новую функцию безопасности под названием Code Scanning («Сканирование кода») для всех пользователей, как платных, так и бесплатных.

Новая функция «Сканирование кода» помогает предотвратить попадание уязвимостей в рабочую среду, анализируя каждый запрос на принятие изменений, фиксацию и слияние — распознавая уязвимый код сразу после его создания. После обнаружения уязвимостей функция предлагает разработчику изменить свой код.

Нововведение работает на базе технологии CodeQL, которую GitHub интегрировал в свою платформу после того, как в сентябре 2019 года приобрел платформу анализа кода Semmle. CodeQL представляет собой аналитический движок, позволяющий разработчикам писать правила для обнаружения разных версий одной и той же уязвимости в больших базах кода.

Для настройки функции «Сканирование кода» пользователи должны перейти на вкладку «Безопасность» каждого репозитория, в котором она должна быть включена.

«Сканирование кода» также можно расширить с помощью настраиваемых шаблонов CodeQL, написанных владельцами репозиториев, или путем подключения статического тестирования защищенности приложений (Static Application Security Testing, SAST) или сторонних приложений с открытым исходным кодом.

Новая функция была доступна для бета-тестеров GitHub еще с мая нынешнего года. С тех пор, по словам представителей GitHub, она была использована для выполнения более 1,4 млн сканирований более чем 12 тыс. репозиториев и выявила более 20 тыс. уязвимостей, включая уязвимости удаленного выполнения кода, SQL-инъекций и выполнения межсайтовых сценариев.