GitHub rende disponibile nativamente la scansione del codice
Poco più di un anno fa, GitHub dava il benvenuto a Semmle, azienda che sviluppa un engine che consente agli sviluppatori di utilizzare delle query per identificare dei pattern nel codice di grandi database ed identificarne le vulnerabilità e le varianti.
Al GitHub Satellite dello scorso maggio è stata presentata la prima versione beta del code scanning. Durante questi ultimi mesi migliaia di sviluppatori hanno testato la funzionalità e fornito feedback ed ora l’azienda ha annunciato che la scansione nativa del codice è disponibile a tutti.
Da quando la beta è stata introdotta, nel solo primo mese, sono stati scansionati oltre 12.000 repository su cui sono state rilevate più di 20.000 falle di sicurezza; le più frequenti: remote code execution (RCE), SQL injection e cross site scripting (XSS).
Sviluppatori e maintainers hanno sistemato il 72% degli problemi segnalati nelle pull request entro 30 giorni. GitHub tiene a sottolineare che, solitamente, meno del 30% di questi problemi viene risolto entro un mese dalla segnalazione.
Questo tool è indirizzato principalmente agli sviluppatori. Invece di inviare agli utenti decine di suggerimenti su come scrivere o non scrivere il codice, la scansione esegue di default solo un set di regole di sicurezza che possono essere applicate, in modo che gli sviluppatori possano rimanere concentrati su altre attività.
La scansione del codice si integra con le Action di GitHub o con l’ambiente CI/CD già esistente, in modo da restare il più flessibile possibile.
La scansione viene eseguita quasi in tempo reale ed effettua, dove possibile, delle revisioni sulle pull e altre operazioni utilizzate nel day-by-day su GitHub.
Praticamente la sicurezza viene aggiunta automaticamente al workflow, il che dovrebbe garantire che le vulnerabilità più evidenti (e spesso banali) non arrivino mai in produzione.
La scansione del codice è basata su CodeQL, uno dei motori di analisi del codice più potenti al mondo. GitHub ha già messo a disposizione oltre 2000 query ma nessuno vieta agli utenti (anzi!) di crearne di proprie.
La scansione del codice è gratuita per i repository pubblici mentre per quelli privati è disponibile per GitHub Enterprise tramite Advanced Security.
Più sicurezza… Per tutti!
Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
