GitHub上 关于该服务的所有用户的可访问性 ,此前仅提供给有限计划的参与者来测试新的实验功能。 服务 扫描每个 git Push 操作是否存在潜在漏洞。 结果直接附加到拉取请求中。 使用引擎执行检查 ,它使用易受攻击的代码的典型示例来分析模板(CodeQL 允许您生成易受攻击的代码模板,以识别其他项目的代码中是否存在类似的漏洞)。
在该服务的 Beta 测试期间,在扫描约 12 个存储库时发现了 20 万多个安全问题,其中包括导致远程代码执行和 SQL 查询替换的严重问题。 72% 的问题是在拉取请求被接受之前的审查阶段发现的,并在不到 30 天的时间内修复(相比之下,一般行业统计数据显示,只有 30% 的漏洞在不到一个月的时间内得到修复)发现后)。
来源: opennet.ru