Max Home IndustryТехнология анализа кода Github на основе CodeQL, которую он приобрел в рамках покупки Semmie в 2019 году, сейчас вышла из стадии бета-тестирования и общедоступна.
Новое встроенное сканирование кода основано на технологии CodeQL. CodeQL — это инструмент, который многие исследовательские группы по всему миру используют для семантического анализа кода, и он был открыт GitHub после приобретения Semmie.
Цель нового средства — помочь разработчикам предотвратить проблемы с безопасностью в коде. Сканирование кода не дает предложений по линтингу, а сканирование по умолчанию запускает только действующие правила безопасности, чтобы разработчики не были перегружены предложениями.
Сканирование интегрируется с GitHub Actions или средами CI / CD. Он сканирует код по мере его создания и создает обзоры безопасности с предлагаемыми действиями в запросах на вытягивание, чтобы автоматизировать безопасность как часть вашего рабочего процесса. Цель состоит в том, чтобы убедиться, что уязвимости никогда не попадут в рабочую среду.
Базовый механизм анализа кода CodeQL содержит более 2000 запросов CodeQL, созданных GitHub и сообществом, и разработчики также могут создавать собственные запросы.
Сканирование основано на открытом стандарте SARIF (формат обмена результатами статического анализа), который является стандартом взаимодействия для обнаружения дефектов и уязвимостей программного обеспечения. Сканирование является расширяемым, поэтому вы можете включать решения для тестирования безопасности статических приложений (SAST) с открытым исходным кодом и коммерческих приложений в один и тот же интерфейс GitHub. Разработчики также могут интегрировать сторонние механизмы сканирования.
GitHub сообщает, что с момента представления бета-версии в мае 12000 репозиториев были просканированы 1,4 миллиона раз, и было обнаружено и исправлено более 20000 проблем безопасности, включая уязвимости удаленного выполнения кода (RCE), SQL-инъекций и межсайтовых сценариев (XSS). .
Сканирование кода бесплатно для общедоступных репозиториев. Частные репозитории можно сканировать с помощью GitHub Enterprise через GitHub Advanced Security.