GitHub sobre accesibilidad para todos los usuarios del servicio , que anteriormente solo se ofrecía a los participantes en un programa limitado para probar nuevas funciones experimentales. Servicio Escaneando cada operación de git push en busca de posibles vulnerabilidades. El resultado se adjunta directamente a la solicitud de extracción. La verificación se realiza utilizando el motor. , que analiza plantillas con ejemplos típicos de código vulnerable (CodeQL le permite generar una plantilla de código vulnerable para identificar la presencia de una vulnerabilidad similar en el código de otros proyectos).
Durante la prueba beta del servicio, se identificaron más de 12 mil problemas de seguridad durante el escaneo de alrededor de 20 mil repositorios, incluidos problemas graves que conducen a la ejecución remota de código y la sustitución de consultas SQL. El 72% de los problemas encontrados se identificaron durante la etapa de revisión de una solicitud de extracción, antes de que fuera aceptada, y se solucionaron en menos de 30 días (a modo de comparación, las estadísticas generales de la industria muestran que solo el 30% de las vulnerabilidades se solucionan en menos de un mes). después del descubrimiento).
Fuente: opennet.ru