O GitHub diz que o novo recurso Code Scanning “ajuda a evitar que as vulnerabilidades cheguem à produção, analisando cada solicitação pull, confirmação e fusão – reconhecendo o código vulnerável assim que ele é criado.”
Depois que as vulnerabilidades são detectadas, a Varredura de código funciona solicitando que o desenvolvedor revise seu código.
Nos bastidores, o Code Scanning funciona com base no CodeQL, uma tecnologia que o GitHub integrou à sua plataforma depois de adquirir a plataforma de análise de código Semmle em setembro de 2019 .
CodeQL significa linguagem de consulta de código e é uma linguagem genérica que permite aos desenvolvedores escrever regras para detectar diferentes versões da mesma falha de segurança em grandes bases de código.
Para configurar a digitalização de código , os usuários devem visitar a guia ” Segurança ” de cada um dos repositórios para os quais desejam que o recurso seja ativado.
Aqui, os desenvolvedores serão solicitados a habilitar as consultas CodeQL que desejam que o GitHub use para verificar seu código-fonte.
Para que os usuários comecem a usar a varredura de código, o Gitub disse que sua equipe de segurança reuniu mais de 2.000 consultas CodeQL predefinidas que os usuários podem habilitar para seus repositórios e verificar automaticamente as falhas de segurança mais básicas ao enviar um novo código.
Além disso, o Code Scanning também pode ser estendido por meio de modelos CodeQL personalizados escritos por proprietários de repositórios ou conectando soluções de software livre de terceiros ou de teste de segurança de aplicativo estático (SAST) comercial.
A varredura de código está disponível para testadores beta do GitHub desde maio, depois que o recurso foi inicialmente anunciado na conferência GitHub Satellite.
Desde então, o GitHub diz que o recurso foi usado para realizar mais de 1,4 milhão de varreduras em mais de 12.000 repositórios e identificou mais de 20.000 vulnerabilidades, incluindo execução remota de código (RCE), injeção de SQL e vulnerabilidades de cross-site scripting (XSS).
Os desenvolvedores também parecem ter recebido calorosamente o novo recurso, e o GitHub diz que já recebeu 132 contribuições da comunidade para os conjuntos de consulta de código-fonte aberto da CodeQL desde o lançamento do recurso na primavera.
Fonte: https://www.zdnet.com/article/github-rolls-out-new-code-scanning-security-feature-to-all-users
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…