На GitHub з’явився сканер вразливостей коду

Після обширного тестування GitHub відкрив у відкритому доступі функцію сканування коду на уразливості. Будь-який бажаючий може запустити сканер на власному репозиторії і знайти уразливості до того, як вони підуть в продакшн.

Як повідомляє Engadget, сканер заснований на технології CodeQL, яку розробила компанія Semmle, куплена GitHub в 2019 році.


Сканер діє для репозиторіїв на C, C++, C#, JavaScript, TypeScript, Python і Go. Якщо уразливості будуть виявлені, сканер запропонує розробнику переглянути свій код і вкаже на проблемне місце. Включити функцію можна у вкладці Security.

«Нова функція допомагає запобігти потраплянню вразливостей в робоче середовище, аналізуючи кожен pull request, комміт і злиття, розпізнаючи вразливий код відразу після його створення», – повідомляє GitHub.

Code Scanning працює поверх CodeQL – технології, яку GitHub інтегрувала в свою платформу після того, як у вересні 2019 року придбала аналітичну платформу Semmle. По суті це дозволить розробникам створювати правила для виявлення різних версій одного і того ж бага у великих масивах коду.

Користувачі вже можуть використовувати для своїх репозиторіїв 2000 запитів CodeQL, які створив GitHub і з їх допомогою автоматично перевірити наявність найосновніших вразливостей в новому коді.

Крім того, сканер можна доповнити налаштовуємими шаблонами CodeQL, написаними власниками репозиторіїв, або шляхом підключення сторонніх рішень або комерційних SAST-продуктів.

За інформацією GitHub, нова функція вже використовувалася більш, ніж для 1,4 мільйона сканувань 12 000 репозиторіїв і допомогла виявити понад 20 000 вразливостей, включаючи уразливості віддаленого виконання коду (RCE), SQL-ін’єкції і міжсайтовий скриптинг (XSS).

banda.media

Обязательно подпишитесь на наш Telegram канал

ПОДПИСЫВАЮСЬ
ПОТОМ