01/10/20
Web-сервис для хостинга IT-проектов и их совместной разработки GitHub представил новую функцию безопасности под названием Code Scanning («Сканирование кода») для всех пользователей, как платных, так и бесплатных.
Новая функция «Сканирование кода» помогает предотвратить попадание уязвимостей в рабочую среду, анализируя каждый запрос на принятие изменений, фиксацию и слияние — распознавая уязвимый код сразу после его создания. После обнаружения уязвимостей функция предлагает разработчику изменить свой код.
Нововведение работает на базе технологии CodeQL, которую GitHub интегрировал в свою платформу после того, как в сентябре 2019 года приобрел платформу анализа кода Semmle. CodeQL представляет собой аналитический движок, позволяющий разработчикам писать правила для обнаружения разных версий одной и той же уязвимости в больших базах кода.
Для настройки функции «Сканирование кода» пользователи должны перейти на вкладку «Безопасность» каждого репозитория, в котором она должна быть включена.
«Сканирование кода» также можно расширить с помощью настраиваемых шаблонов CodeQL, написанных владельцами репозиториев, или путем подключения статического тестирования защищенности приложений (Static Application Security Testing, SAST) или сторонних приложений с открытым исходным кодом.
Новая функция была доступна для бета-тестеров GitHub еще с мая нынешнего года. С тех пор, по словам представителей GitHub, она была использована для выполнения более 1,4 млн сканирований более чем 12 тыс. репозиториев и выявила более 20 тыс. уязвимостей, включая уязвимости удаленного выполнения кода, SQL-инъекций и выполнения межсайтовых сценариев.
