devnews.pl

Main Menu

  • Informacje
    • Systemy i przeglądarki
    • Gadżety
  • Narzędzia
  • Frontend
  • Backend
  • QA
  • Języki programowania

logo

devnews.pl

  • Informacje
    • Systemy i przeglądarki
    • Gadżety
  • Narzędzia
  • Frontend
  • Backend
  • QA
  • Języki programowania
Narzędzia
Home›Narzędzia›Skanowanie kodu w GitHub ogólnodostępne

Skanowanie kodu w GitHub ogólnodostępne

By Bernadeta Zapała
7 października 2020
159
0
Share:

Stworzenie oprogramowania open source w bezpieczny i zaufany sposób nieraz stwarza wiele problemów. Git Hub bierze za to na siebie odpowiedzialność, dostarczając narzędzia i odpowiednią infrastrukturę do bezpiecznego tworzenia oprogramowania. W tym tygodniu serwis opublikował ogólnie dostępną opcję – skanowanie kodu w GitHub

Zapewnianie bezpieczeństwa kodu

Już rok temu serwis dostarczył silnik semantycznej analizy kodu firmy Semmle. Dzięki niemu programiści mogą pisać zapytania identyfikujące wzorce kodu w dużych bazach kodu oraz wyszukiwać luki. Od roku programiści GitHub pracują nad udostępnieniem możliwości analizy kody w technologii CodeQL jako natywnej funkcji. W maju udostępnili pierwszą wersję beta skanowania kodu, a teraz w wyniku wielu testów i opinii użytkowników, skanowanie kodu w Github jest ogólnie dostępne.

Skanowanie kodu w GitHub

Skanowanie kodu w GitHub

Jest to pierwsze, natywne podejście dla programistów. Skanowanie pozwala znajdować luki w zabezpieczeniach, zanim przejdą do produkcji. Przede wszystkim funkcja jest przeznaczona dla programistów. Uruchamia ona wyłącznie reguły bezpieczeństwa, które można wykonać i nie pokazuje sugestii dotyczących lintingu, więc programiści skupiają się na zadaniach.

Dzięki integracji funkcji z działaniami GitHub zmaksymalizowano elastyczność zespołu. Kod jest skanowany podczas jego tworzenia. Funkcja wyświetla wtedy przydatne recenzje zabezpieczeń w pull requestach oraz automatyzuje zabezpieczenia jako część przepływu pracy. Tym samym zapewnia, że luki nie trafią do produkcji.

Zaplecze nowej funkcji

Skanowanie kodu obsługuje jeden z potężniejszych silników analizy kodu – CodeQL. Działanie jest oparte o otwarty standard SARIF. Ponadto, funkcja jest rozszerzalna, więc uwzględnia rozwiązania open source i statyczne testy bezpieczeństwa aplikacji SATS.

Skanowanie kodu w GitHub

Możliwości dostarczane przez skanowanie kodu w GitHub

Utworzono prawie 2 tysiące zapytań CodeQL stworzonych przez GitHub, dzięki którym znajdowanie problemów dotyczących bezpieczeństwa jest prostsze. Ponadto korzystając z integracji silników skanujących innych firm, programiści otrzymują wyniki ze wszystkich narzędzi bezpieczeństwa w jednym interfejsie. Także przy pomocy jednego API mają możliwość eksportowania wyników tych skanów.

Podsumowanie

Od maja przeskanowano 12 000 repozytoriów ponad 14 miliona razy. W wyniku otrzymano prawie 20 000 problemów z zabezpieczeniami, a 72% zgłoszonych błędów zidentyfikowano przed mergowaniem w ciągu 30 dni. Repozytoria publiczne otrzymują funkcję skanowania bezpłatnie. Z kolei dla repozytoriów prywatnych skanowanie jest dostępne dla GitHub Enterprise przy pomocy zaawansowanych zabezpieczeń.

Tagscode scanningGithub

Share:

  • Narzędzia

    Windows Terminal Preview 1.7 z lepszym zarządzaniem oknami

  • Java 15
    Języki programowania

    Java 15 z blokami tekstu oraz ukrytymi klasami

  • Narzędzia

    Orogene – nowy menedżer pakietów oparty na Rust

  • 13 kwietnia 2021

    TypeScript 4.3 beta z oddzielnymi typami zapisu

  • 7 kwietnia 2021

    Billboard.js 3.0 z nowym typem świecy

  • 2 kwietnia 2021

    Silnik V8 9.0 beta udostępniony

  • 1 kwietnia 2021

    ReacType 6.0 z nowym dashboardem

  • 29 marca 2021

    Udostępniono Android 12 Developer Preview 2

  • 24 marca 2021

    Git 2.31 dostępny z konserwacją w tle

  • 19 marca 2021

    Relay Hooks – nowy zestaw interfejsów API

  • 18 marca 2021

    Deno 1.8 ze wsparciem interfejsu API WebGPU 

  • 16 marca 2021

    React Native 0.64 z silnikiem Hermes na iOS

  • 9 marca 2021

    Windows Terminal Preview 1.7 z lepszym zarządzaniem oknami

  • 3 marca 2021

    Vite 2.0 wydane z nowymi wtyczkami

  • 25 lutego 2021

    ReacType 5.0 – zmiany we wprowadzaniu komponentów

  • 23 lutego 2021

    Dapr v.1.0 gotowy do fazy produkcji

  • 22 lutego 2021

    ReScript 9.0 z zewnętrzną konfiguracją stdlib

  • 22 lutego 2021

    One UI 3.1 z ciekawymi nowościami dla urządzeń Samsunga

  • 22 lutego 2021

    Windows Terminal Preview 1.6 z nową sekcją ustawień

  • 15 lutego 2021

    Visual Studio Code 1.53 z ulepszeniami debugowania

  • 8 lutego 2021

    Edge 89 beta, Edge Dev 90 i nowości na kanale Canary

  • 2 lutego 2021

    Firefox 85 i Firefox Nightly – nowe wersje przeglądarki Mozilli

  • 29 stycznia 2021

    Billboard.js 2.2.0 z nowymi funkcjami wykresów

  • 26 stycznia 2021

    Kendo UI R1 2021 – nowości dla bibliotek

  • 21 stycznia 2021

    Narzędzie Vno – połączenie Vue i Deno

  • 19 stycznia 2021

    GitHub Enterprise Server 3.0 RC – kandydat do wydania

  • 15 stycznia 2021

    TypeScript 4.2 Beta z ulepszeniami typów krotek

  • 13 stycznia 2021

    Styczniowy Patch Tuesday z luką 0-day

  • 11 stycznia 2021

    Safari Technology Preview 118 dostępne dla programistów

  • 8 stycznia 2021

    Microsoft Launcher na Androida z usprawnionym dotykiem

  • 7 stycznia 2021

    WebStorm 2020.3.1 dostępny dla urządzeń z Apple Silicon

  • 22 grudnia 2020

    ReScript 8.4 z przypiętymi zależnościami

  • 14 grudnia 2020

    Edge 88 beta i przeglądarka na kanale Canary dostępne!

 

 

Jesteśmy pasjonatami najnowszych technologii w świecie programowania. Zbieramy dla Was informacje i porady z całego świata, które sprawią, że Twoja praca stanie się jeszcze bardziej efektywna.

Obserwuj nas codziennie, aby być na bieżąco oraz śmiało udostępniaj nasze posty.

Zespół DevNews

Kategorie

  • Backend
  • Bez kategorii
  • Frontend
  • Gadżety
  • Informacje
  • Języki programowania
  • Narzędzia
  • QA
  • Systemy i przeglądarki

OBSERWUJ NAS

KONTAKT

Chcesz się z nami skontaktować?

Napisz do nas wiadomość: kontakt@devnews.pl

www.devnews.pl | DEVNEWS 2020 | Newsy i ciekawostki ze świata IT