GitHub пусна услуга за откриване на уязвимости в кода
GitHub направи налично за всички сканирането на кода за уязвимости
(снимка: CC0 Public Domain)
Популярното вместилище за софтуерни планове GitHub вкара услуга за сканиране на кода, налична за всички консуматори. Досега сходна услуга се оферираше единствено за членовете на лимитираната стратегия за тестване на нови пробни функционалности.
Услугата сканира всяка „ git push ” интервенция за евентуални уязвимости. Резултатът се прикрепя непосредствено към pull-заявката, излиза наяве от обява в.
Проверката се прави благодарение на механизма CodeQL – анализиращ образец с типични образци за уязвим код. Този механизъм генерира образец с уязвим код, с който се открива съществуването на сходна накърнимост в кода на други планове.
При бета тестванията на услугата, в сканираните към 12 хиляди складове са открити повече от 20 хиляди бъга в сигурността, измежду които съществени проблеми, водещи до отдалечено осъществяване на код и заменяне на SQL поръчки.
72% от откритите проблеми са разпознати на стадия на разглеждане на pull-заявката, преди тя да бъде призната, и са отстранени за по-малко от 30 дни. За съпоставяне, общата статистика демонстрира, че единствено 30% от уязвимостите се отстраняват за по-малко от месец след откриването им.
Източник: technews.bg
КОМЕНТАРИ