O GitHub diz que o novo recurso Code Scanning “ajuda a evitar que as vulnerabilidades cheguem à produção, analisando cada solicitação pull, confirmação e fusão – reconhecendo o código vulnerável assim que ele é criado.”
Depois que as vulnerabilidades são detectadas, a Varredura de código funciona solicitando que o desenvolvedor revise seu código.
Nos bastidores, o Code Scanning funciona com base no CodeQL, uma tecnologia que o GitHub integrou à sua plataforma depois de adquirir a plataforma de análise de código Semmle em setembro de 2019 .
CodeQL significa linguagem de consulta de código e é uma linguagem genérica que permite aos desenvolvedores escrever regras para detectar diferentes versões da mesma falha de segurança em grandes bases de código.
Para configurar a digitalização de código , os usuários devem visitar a guia ” Segurança ” de cada um dos repositórios para os quais desejam que o recurso seja ativado.
Aqui, os desenvolvedores serão solicitados a habilitar as consultas CodeQL que desejam que o GitHub use para verificar seu código-fonte.
Para que os usuários comecem a usar a varredura de código, o Gitub disse que sua equipe de segurança reuniu mais de 2.000 consultas CodeQL predefinidas que os usuários podem habilitar para seus repositórios e verificar automaticamente as falhas de segurança mais básicas ao enviar um novo código.
Além disso, o Code Scanning também pode ser estendido por meio de modelos CodeQL personalizados escritos por proprietários de repositórios ou conectando soluções de software livre de terceiros ou de teste de segurança de aplicativo estático (SAST) comercial.
A varredura de código está disponível para testadores beta do GitHub desde maio, depois que o recurso foi inicialmente anunciado na conferência GitHub Satellite.
Desde então, o GitHub diz que o recurso foi usado para realizar mais de 1,4 milhão de varreduras em mais de 12.000 repositórios e identificou mais de 20.000 vulnerabilidades, incluindo execução remota de código (RCE), injeção de SQL e vulnerabilidades de cross-site scripting (XSS).
Os desenvolvedores também parecem ter recebido calorosamente o novo recurso, e o GitHub diz que já recebeu 132 contribuições da comunidade para os conjuntos de consulta de código-fonte aberto da CodeQL desde o lançamento do recurso na primavera.
Fonte: https://www.zdnet.com/article/github-rolls-out-new-code-scanning-security-feature-to-all-users
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…