0
0
O novo recurso de digitalização de códigos dirá aos usuários do GitHub quando eles adicionarem falhas de segurança conhecidas em seu código
O site de hospedagem de códigos GitHub está lançando hoje um novo recurso de segurança chamado Code Scanning para todos os usuários, tanto em contas pagas quanto gratuitas.
O GitHub diz que o novo recurso de digitalização de código “ajuda a evitar que as vulnerabilidades cheguem à produção analisando cada solicitação de tração, compromisso e fusão — reconhecendo código vulnerável assim que ele é criado”.
Uma vez que as vulnerabilidades são detectadas, a varredura de código funciona solicitando que o desenvolvedor revise seu código.
Sob o capô, a Code Scanning funciona em cima do CodeQL, uma tecnologia que o GitHub integrou em sua plataforma depois que adquiriu a plataforma de análise de códigos Semmle em setembro de 2019.
CodeQL significa linguagem de consulta de código e é uma linguagem genérica que permite que os desenvolvedores escrevam regras para detectar diferentes versões da mesma falha de segurança em grandes bases de código.
Para configurar a digitalização de código,os usuários devem visitar a guia “Segurança” de cada um dos repositórios que deseja que o recurso seja ativado.
Aqui, os desenvolvedores serão solicitados a habilitar as consultas codeQL que eles querem que o GitHub use para digitalizar seu código-fonte.
Para que os usuários começassem a usar a Digitalização de Códigos, o Gitub disse que sua equipe de segurança reuniu mais de 2.000 consultas predefinidas do CodeQL que os usuários podem habilitar para seus repositórios e verificar automaticamente as falhas de segurança mais básicas ao enviar um novo código.
Além disso, a digitalização de códigos também pode ser estendida através de modelos codeQL personalizados escritos por proprietários de repositórios ou conectando soluções de teste de segurança de aplicativos estáticos de terceiros ou comerciais (SAST).
A Digitalização de Códigos está disponível para testadores beta do GitHub desde maio, depois que o recurso foi inicialmente anunciado na conferência GitHub Satellite.
Desde então, o GitHub diz que o recurso foi usado para realizar mais de 1,4 milhão de varreduras em mais de 12.000 repositórios e identificou mais de 20.000 vulnerabilidades, incluindo execução remota de código (RCE), injeção SQL e vulnerabilidades de scripting entre sites (XSS).
Os desenvolvedores também parecem ter recebido calorosamente o novo recurso, e o GitHub diz que já recebeu 132 contribuições da comunidade para os conjuntos de consultas de código aberto da CodeQL desde que o recurso foi lançado na primavera.
FONTE: ZDNET