GitHub випустив сервіс для пошуку вразливостей у коді

1 хв. читання

GitHub опублікував свій новий сервіс Code Scanning, який аналізує кожен пул-запит, коміт і мердж та шукає потенційні вразливості в коді. Якщо вони знайдені, сервіс автоматично запропонує виправлення у пул-запиті та додасть інформацію про сумісність — щоб розробники бачили, як виправлення вплинуть на код.

token-scanning-1

Перевірка коду працює на базі технології CodeQL, яка аналізує шаблони з типовими прикладами вразливого коду. Також можна створити власні шаблони, щоб знайти подібні вразливості в інших проєктах чи великих кодових базах. Налаштувати Code Scanning можна у вкладці «Security» кожного репозиторію.

Бета-версія сервісу працювала з травня, нею користувались тестувальники нових функцій на GitHub. З того часу Code Scanning виконав 1,4 млн перевірок для більш ніж 12 000 репозиторіїв. Знайшлось понад 20 000 проблем безпеки, зокрема і вразливості дистанційного виконання коду (RCE) та міжсайтові сценарії (XSS).

72% цих вразливостей встигли виправити на стадії пул-запиту протягом 30 днів. Це можна вважати досягненням, адже зазвичай протягом місяця виправляється менше ніж 30% проблем.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 4.8K
Приєднався: 10 місяців тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід / Реєстрація