GitHub Π²Π²Ρ‘Π» Π² строй сСрвис для выявлСния уязвимостСй Π² ΠΊΠΎΠ΄Π΅

GitHub объявил ΠΎ доступности для всСх ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ сСрвиса Code scanning, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Ρ€Π°Π½Π΅Π΅ прСдлагался Ρ‚ΠΎΠ»ΡŒΠΊΠΎ участникам ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½ΠΎΠΉ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ тСстирования Π½ΠΎΠ²Ρ‹Ρ… ΡΠΊΡΠΏΠ΅Ρ€ΠΈΠΌΠ΅Π½Ρ‚Π°Π»ΡŒΠ½Ρ‹Ρ… возмоТностСй. БСрвис обСспСчиваСт сканированиС ΠΊΠ°ΠΆΠ΄ΠΎΠΉ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΈ «git push» Π½Π° ΠΏΡ€Π΅Π΄ΠΌΠ΅Ρ‚ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… уязвимостСй. Π Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ прикрСпляСтся нСпосрСдствСнно ΠΊ pull-запросу. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° выполняСтся с использованиСм Π΄Π²ΠΈΠΆΠΊΠ° CodeQL, Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΡŽΡ‰Π΅Π³ΠΎ ΡˆΠ°Π±Π»ΠΎΠ½Ρ‹ с Ρ‚ΠΈΠΏΠΎΠ²Ρ‹ΠΌΠΈ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π°ΠΌΠΈ уязвимого ΠΊΠΎΠ΄Π° (CodeQL позволяСт ΡΡ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ шаблон уязвимого ΠΊΠΎΠ΄Π° для выявлСния наличия ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΎΠΉ уязвимости Π² ΠΊΠΎΠ΄Π΅ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠ²).

Π—Π° врСмя Π±Π΅Ρ‚Π°-тСстирования сСрвиса Π² Ρ…ΠΎΠ΄Π΅ сканирования ΠΎΠΊΠΎΠ»ΠΎ 12 тысяч Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π² Π±Ρ‹Π»ΠΎ выявлСно Π±ΠΎΠ»Π΅Π΅ 20 тысяч ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ, срСди ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π±Ρ‹Π»ΠΈ ΠΈ ΡΠ΅Ρ€ΡŒΡ‘Π·Π½Ρ‹Π΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹, приводящиС ΠΊ ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠΌΡƒ исполнСнию ΠΊΠΎΠ΄Π° ΠΈ подстановкС SQL-запросов. 72% ΠΈΠ· Π½Π°ΠΉΠ΄Π΅Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ Π±Ρ‹Π»ΠΈ выявлСны Π½Π° стадии рассмотрСния pull-запроса, Π΄ΠΎ Π΅Π³ΠΎ принятия, ΠΈ исправлСны ΠΌΠ΅Π½Π΅Π΅ Ρ‡Π΅ΠΌ Π·Π° 30 Π΄Π½Π΅ΠΉ (для сравнСния общая статистика ΠΏΠΎ индустрии ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ лишь 30% уязвимостСй устраняСтся ΠΌΠ΅Π½Π΅Π΅ Ρ‡Π΅ΠΌ Π·Π° мСсяц послС обнаруТСния).

GitHub Π²Π²Ρ‘Π» Π² строй сСрвис для выявлСния уязвимостСй Π² ΠΊΠΎΠ΄Π΅

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru