GitHub Code Scanning

2020: Анонс GitHub Code Scanning - автоматического сканера уязвимостей для разработчиков ПО

В начале октября 2020 года GitHub запустила новую функцию под названием GitHub Code Scanning («сканирование кода GitHub»), которая автоматически находит уязвимости в проектах разработчиков программного обеспечения. Это дополнение не только сделает набор функций GitHub более конкурентоспособным, но и потенциально повысит безопасность экосистемы с открытым исходным кодом в целом.

Новый сканер уязвимостей основан на инструменте CodeQL, который GitHub получил в 2019 году в результате приобретения стартапа. CodeQL позволяет разработчикам создавать абстрактное описание проблемы безопасности, а затем сканировать свои программные проекты на предмет кода, который соответствует описанию. CodeQL выполняет сканирование без участия человека, что позволяет анализировать крупные базы кода намного быстрее, чем при ручном подходе.

GitHub представила автоматический сканер уязвимостей для разработчиков ПО

Разработчики получили доступ к 2000 шаблонов сканирования CodeQL. Ошибки, обнаруженные в проекте, отображаются внутри интерфейса GitHub, поэтому разработчики смогут увидеть, насколько уязвим их код для хакеров, прежде чем опубликовать его. Кроме того, CodeQL можно интегрировать с инструментами автоматизации, которые предотвратят добавление уязвимого кода во внутренние репозитории программного обеспечения.

GitHub планирует со временем расширить исходный набор функций. Менеджер по продукции GitHub Джастин Хатчингс (Justin Hutchings) сообщил, что разработчики получат возможность расширять набор шаблонов сканирования CodeQL по умолчанию, создавая свои собственные запросы. Кроме того, подразделение Microsoft готовит интеграцию с дополнительными продуктами для сканирования уязвимостей других компаний, чтобы выявлять более широкий спектр проблем безопасности в коде пользователей.^[1]