GitHub เกี่ยวกับการเข้าถึงสำหรับผู้ใช้บริการทุกคน ซึ่งก่อนหน้านี้เสนอให้เฉพาะผู้เข้าร่วมในโปรแกรมจำกัดเพื่อทดสอบฟีเจอร์ทดลองใหม่ๆ เท่านั้น บริการ สแกนทุกการดำเนินการ git push เพื่อหาช่องโหว่ที่อาจเกิดขึ้น ผลลัพธ์จะถูกแนบโดยตรงกับคำขอดึง การตรวจสอบจะดำเนินการโดยใช้เครื่องยนต์ ซึ่งวิเคราะห์เทมเพลตด้วยตัวอย่างทั่วไปของโค้ดที่มีช่องโหว่ (CodeQL ช่วยให้คุณสร้างเทมเพลตโค้ดที่มีช่องโหว่เพื่อระบุการมีอยู่ของช่องโหว่ที่คล้ายกันในโค้ดของโปรเจ็กต์อื่น ๆ)
ในระหว่างการทดสอบบริการเบต้า พบปัญหาด้านความปลอดภัยมากกว่า 12 ปัญหาในระหว่างการสแกนพื้นที่เก็บข้อมูลประมาณ 20 แห่ง รวมถึงปัญหาร้ายแรงที่นำไปสู่การเรียกใช้โค้ดจากระยะไกลและการแทนที่แบบสอบถาม SQL 72% ของปัญหาที่พบถูกระบุในระหว่างขั้นตอนการตรวจสอบคำขอดึงก่อนที่จะได้รับการยอมรับ และแก้ไขภายในเวลาไม่ถึง 30 วัน (สำหรับการเปรียบเทียบ สถิติอุตสาหกรรมทั่วไปแสดงให้เห็นว่ามีเพียง 30% ของช่องโหว่ที่ได้รับการแก้ไขในเวลาน้อยกว่าหนึ่งเดือน หลังจากค้นพบ)
ที่มา: opennet.ru