Η πλατφόρμα φιλοξενίας κώδικα GitHub, προσφέρει νέες δυνατότητες ανάλυσης σάρωσης κώδικα που βασίζεται σε μηχανική εκμάθηση, οι οποίες θα εντοπίζουν αυτόματα περισσότερες κοινές ευπάθειες ασφαλείας.
Δείτε επίσης: Microsoft Sentinel: Αποκτά παρακολούθηση απειλών για GitHub repos
Αυτές οι νέες δυνατότητες είναι πλέον διαθέσιμες για JavaScript και TypeScript GitHub αποθετήρια σε δημόσια έκδοση beta.
«Με τις νέες δυνατότητες ανάλυσης, η σάρωση κώδικα μπορεί να εμφανίσει ακόμη περισσότερες ειδοποιήσεις για τέσσερα κοινά μοτίβα ευπάθειας: cross-site scripting (XSS), path injection, NoSQL injection και SQL injection», δήλωσε ο Tiferet Gazit και η Alona Hlobina του GitHub.
«Μαζί, αυτοί οι τέσσερις τύποι ευπάθειας αντιπροσωπεύουν πολλές από τις πρόσφατες ευπάθειες (CVE) στο οικοσύστημα JavaScript/TypeScript και η βελτίωση της ικανότητας σάρωσης κώδικα να εντοπίζει τέτοιες ευπάθειες νωρίς στη διαδικασία ανάπτυξης είναι το κλειδί για να βοηθήσει τους προγραμματιστές να γράψουν πιο ασφαλή κώδικα.»
Τα τρωτά σημεία ασφαλείας που θα εντοπίζονται από τις νέες δυνατότητες, θα εμφανίζονται ως ειδοποιήσεις στην καρτέλα “Ασφάλεια” των εγγεγραμμένων αποθετηρίων.
Δείτε ακόμα: Πώς μπορείτε να διαγράψετε ένα Branch στο GitHub
Αυτές οι νέες ειδοποιήσεις επισημαίνονται χρησιμοποιώντας μια ετικέτα “Experimental” και θα είναι επίσης διαθέσιμες μέσω της καρτέλας pull requests.
Η μηχανή ανάλυσης κώδικα CodeQL, η οποία τροφοδοτεί τη σάρωση κώδικα του GitHub, προστέθηκε στις δυνατότητες της πλατφόρμας αφού το GitHub απέκτησε την πλατφόρμα ανάλυσης κώδικα Semmle τον Σεπτέμβριο του 2019.
Το GitHub κυκλοφόρησε την πρώτη beta σάρωση κώδικα στο GitHub Satellite τον Μάιο του 2020 και ανακοίνωσε τη γενική του διαθεσιμότητα τέσσερις μήνες αργότερα, τον Σεπτέμβριο του 2020.
Κατά τη διάρκεια των δοκιμών beta, η δυνατότητα σάρωσης κώδικα χρησιμοποιήθηκε για πάνω από 12.000 αποθετήρια 1,4 εκατομμύρια φορές και εντόπισε περισσότερα από 20.000 ζητήματα ασφαλείας, συμπεριλαμβανομένων ελαττωμάτων απομακρυσμένης εκτέλεσης κώδικα (RCE), εισαγωγής SQL και δέσμευσης ενεργειών μεταξύ τοποθεσιών (XSS).
Δείτε επίσης: Αγωγή εναντίον της Canon επειδή απενεργοποιεί τη σάρωση όταν τελειώνει το μελάνι του εκτυπωτή
Η σάρωση κώδικα GitHub είναι δωρεάν για δημόσια αποθετήρια και είναι διαθέσιμη ως δυνατότητα προηγμένης ασφάλειας GitHub για ιδιωτικούς χώρους αποθήκευσης GitHub Enterprise.
Για να διαμορφώσετε την ανάλυση κώδικα για τον κώδικα JavaScript/TypeScript, μπορείτε να ακολουθήσετε αυτές τις οδηγίες.
Οι νέες δυνατότητες είναι διαθέσιμες για τις σουίτες ανάλυσης εκτεταμένης ασφάλειας και ασφάλειας και ποιότητας της σάρωσης κώδικα.
