GitHub rende disponibile nativamente la scansione del codice

Poco più di un anno fa, GitHub dava il benvenuto a Semmle, azienda che sviluppa un engine che consente agli sviluppatori di utilizzare delle query per identificare dei pattern nel codice di grandi database ed identificarne le vulnerabilità e le varianti.

Al GitHub Satellite dello scorso maggio è stata presentata la prima versione beta del code scanning. Durante questi ultimi mesi migliaia di sviluppatori hanno testato la funzionalità e fornito feedback ed ora l’azienda ha annunciato che la scansione nativa del codice è disponibile a tutti.

Da quando la beta è stata introdotta, nel solo primo mese, sono stati scansionati oltre 12.000 repository su cui sono state rilevate più di 20.000 falle di sicurezza; le più frequenti: remote code execution (RCE), SQL injection e cross site scripting (XSS).

Sviluppatori e maintainers hanno sistemato il 72% degli problemi segnalati nelle pull request entro 30 giorni. GitHub tiene a sottolineare che, solitamente, meno del 30% di questi problemi viene risolto entro un mese dalla segnalazione.

Questo tool è indirizzato principalmente agli sviluppatori. Invece di inviare agli utenti decine di suggerimenti su come scrivere o non scrivere il codice, la scansione esegue di default solo un set di regole di sicurezza che possono essere applicate, in modo che gli sviluppatori possano rimanere concentrati su altre attività.

La scansione del codice si integra con le Action di GitHub o con l’ambiente CI/CD già esistente, in modo da restare il più flessibile possibile.

La scansione viene eseguita quasi in tempo reale ed effettua, dove possibile, delle revisioni sulle pull e altre operazioni utilizzate nel day-by-day su GitHub.

Praticamente la sicurezza viene aggiunta automaticamente al workflow, il che dovrebbe garantire che le vulnerabilità più evidenti (e spesso banali) non arrivino mai in produzione.

La scansione del codice è basata su CodeQL, uno dei motori di analisi del codice più potenti al mondo. GitHub ha già messo a disposizione oltre 2000 query ma nessuno vieta agli utenti (anzi!) di crearne di proprie.

La scansione del codice è gratuita per i repository pubblici mentre per quelli privati è disponibile per GitHub Enterprise tramite Advanced Security.

Più sicurezza… Per tutti!

Sysadmin | Website

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un'opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l'ho scritto io.

Tags: , ,