GitHub spustil službu pro identifikaci zranitelností v kódu

GitHub oznámeno o přístupnosti pro všechny uživatele služby Skenování kódu, který byl dříve nabízen pouze účastníkům omezeného programu k testování nových experimentálních funkcí. Servis poskytuje Skenování každé operace git push pro potenciální zranitelnosti. Výsledek je připojen přímo k požadavku na stažení. Kontrola se provádí pomocí motoru CodeQL, která analyzuje šablony s typickými příklady zranitelného kódu (CodeQL umožňuje vygenerovat šablonu zranitelného kódu pro identifikaci přítomnosti podobné zranitelnosti v kódu jiných projektů).

Během beta testování služby bylo při skenování cca 12 tisíc úložišť identifikováno více než 20 tisíc bezpečnostních problémů, včetně závažných problémů vedoucích ke vzdálenému spuštění kódu a nahrazení SQL dotazu. 72 % nalezených problémů bylo identifikováno během fáze kontroly žádosti o stažení, než byla přijata, a opraveno za méně než 30 dní (pro srovnání obecné statistiky odvětví ukazují, že pouze 30 % zranitelností je opraveno za méně než měsíc po objevení).

GitHub spustil službu pro identifikaci zranitelností v kódu

Zdroj: opennet.ru

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster