github使代码漏洞扫描功能公开
获取软件安全扫描专业综述后一年,并在成功的五个月的测试过程中,Github正在公开提供其CodeQL代码扫描功能,帮助团队和签证通过社区驱动,开发者创建安全应用程序方法。
在Beta进程期间,扫描了12,000次存储库,扫描了140万次,其中未发现超过20,000个安全问题,包括多个远程执行代码执行情况(RCE),SQL注入和跨站点脚本(XSS)漏洞。
Github表示,在过去的30天内,使用该功能的开发人员和维护者使用该功能的普遍披露的错误 - 考虑到,考虑到,一般来说,一般来说,不到三分之一的错误在一个月内修复了不到三分之一的错误。
GitHub产品管理器Justin Hutchings表示,当与GitHub操作或用户现有的CI / CD环境集成时,该服务将最大限度地提高开发团队的灵活性。
“而不是用暗示建议压倒性的建议,代码扫描默认运行可操作的安全规则,以便您可以在手头的任务中保持专注,”赫对齐说。
“它扫描代码,因为它创建和曲面Actions Security Quest审查,在拉请求和其他Github体验中,您每天使用,作为工作流程的一部分自动化安全性。这有助于确保漏洞首先使其成为生产。“
该平台还为CodeQL的开放源查询集注册了132个社区贡献,并在开源和商业空间中与多个安全供应商合作,以允许开发人员运行静态应用安全测试(SAST),集装箱扫描的CodeQL和行业解决方案,和基础设施作为代码验证在Github的本机代码扫描体验中并排验证。
用户还将能够集成第三方扫描引擎,以在单个接口中查看所有安全工具的结果,并通过单个API导出多个扫描结果。Hutchings表示GitHub很快计划在其可扩展功能上分享更多。
该服务将免费提供公共Github存储库,以及更多有关如何在线找到启用此的详细信息。该功能将通过Github Enterprise的Pain-for高级安全选项提供给私人存储库。
有关帮助安全开源生态系统的用户邀请呼叫并贡献GitHub上的CodeQL社区。