GitHub a lancé un service pour identifier les vulnérabilités du code

GitHub объявил sur l'accessibilité pour tous les utilisateurs du service Numérisation de code, qui n'était auparavant proposé qu'aux participants à un programme limité pour tester de nouvelles fonctionnalités expérimentales. Service fournit Analyser chaque opération git push à la recherche de vulnérabilités potentielles. Le résultat est joint directement à la pull request. Le contrôle est effectué à l'aide du moteur CodeQL, qui analyse des modèles avec des exemples typiques de code vulnérable (CodeQL vous permet de générer un modèle de code vulnérable pour identifier la présence d'une vulnérabilité similaire dans le code d'autres projets).

Lors des tests bêta du service, plus de 12 20 problèmes de sécurité ont été identifiés lors de l'analyse d'environ 72 30 référentiels, notamment de graves problèmes entraînant l'exécution de code à distance et la substitution de requêtes SQL. 30 % des problèmes détectés ont été identifiés lors de la phase d'examen d'une pull request, avant qu'elle ne soit acceptée, et corrigés en moins de XNUMX jours (à titre de comparaison, les statistiques générales du secteur montrent que seulement XNUMX % des vulnérabilités sont corrigées en moins d'un mois. après découverte).

GitHub a lancé un service pour identifier les vulnérabilités du code

Source: opennet.ru

Achetez un hébergement fiable pour les sites avec protection DDoS, serveurs VPS VDS 🔥 Achetez un hébergement web fiable avec protection DDoS, serveurs VPS et VDS | ProHoster