GitHub über die Zugänglichkeit für alle Nutzer des Dienstes , das bisher nur Teilnehmern eines begrenzten Programms zum Testen neuer experimenteller Funktionen angeboten wurde. Service Scannen Sie jeden Git-Push-Vorgang auf potenzielle Schwachstellen. Das Ergebnis wird direkt an den Pull-Request angehängt. Die Prüfung erfolgt mit Hilfe des Motors , das Vorlagen mit typischen Beispielen für anfälligen Code analysiert (CodeQL ermöglicht es Ihnen, eine Vorlage für anfälligen Code zu generieren, um das Vorhandensein einer ähnlichen Schwachstelle im Code anderer Projekte zu identifizieren).
Während des Betatests des Dienstes wurden beim Scannen von etwa 12 Repositorys mehr als 20 Sicherheitsprobleme festgestellt, darunter schwerwiegende Probleme, die zur Remote-Codeausführung und zum Ersetzen von SQL-Abfragen führten. 72 % der gefundenen Probleme wurden während der Überprüfungsphase eines Pull-Requests identifiziert, bevor dieser angenommen wurde, und in weniger als 30 Tagen behoben (im Vergleich dazu zeigen allgemeine Branchenstatistiken, dass nur 30 % der Schwachstellen in weniger als einem Monat behoben werden). nach Entdeckung).
Source: opennet.ru