GitHub为开发人员启动自动代码扫描功能
GitHub通过推出名为GitHub代码扫描的功能来增强其平台,该功能可以在开发人员的软件项目中自动查找安全问题。
新增功能不仅将使GitHub的功能集更具竞争力,而且还可能提高整个开源生态系统的安全性。微软公司拥有的代码托管平台是世界上许多开源代码的所在地,其中包括Kubernetes等领先项目。
新的GitHub代码扫描功能基于 GitHub去年通过初创公司收购获得的 名为CodeQL的工具 。CodeQL允许开发人员创建安全问题的抽象描述,然后扫描其软件项目以查找适合该描述的代码。它无需人工输入即可进行扫描,与使用手动方法相比,它提供了分析大型代码库的能力。
开发人员可以访问2,000个预打包的CodeQL扫描模板。在项目中检测到的错误将显示在GitHub界面中,因此开发人员可以在发布之前查看其代码是否容易受到攻击。根据Microsoft部门的说法,还与一些开发自动化产品工具进行了集成,这将使公司能够防止将易受攻击的代码添加到内部软件存储库中。
GitHub计划随着时间的推移扩展初始功能集。GitHub产品经理Justin Hutchings今天详细介绍了开发人员将能够通过创建自己的自定义查询来扩展CodeQL扫描模板的默认选择。此外,Microsoft部门正在准备与其他公司的互补漏洞扫描产品进行集成,以帮助用户检测更多的安全问题。
GitHub已经在其平台上看到了代码安全性的改进。作为今天发布之前的Beta计划的一部分,GitHub帮助开发人员在12,00个代码存储库中发现20,000个bug。
GitHub代码扫描是免费的,是公开的,开源的代码存储库,也可以作为GitHub的付费企业版的一部分使用。后者提供的服务使公司可以使用该功能在其内部软件项目中查找安全问题。
对公共存储库免费提供此功能可能会大大促进鼓励开源软件维护人员采用该功能。除了减少开源项目的攻击面之外,GitHub代码扫描还可以减少发现漏洞后修复漏洞所需的时间。GitHub在Beta计划期间发现,参与者在30天内修复了72%的已报告错误。
这本身可能是一个重大好处,因为修补漏洞的时间越早,黑客利用该漏洞的时间就越短。结果是,对于使用发现了漏洞的开源组件的应用程序,其安全性更高。