Connect with us

Новости

GitHub запускает сканирование кода на уязвимости

Сегодня GitHub официально запускает новый инструмент сканирования кода, призванный помочь разработчикам выявлять уязвимости в своем коде до того, как он станет общедоступным.

Опубликовано

/

     
     

Сегодня GitHub официально запускает новый инструмент сканирования кода, призванный помочь разработчикам выявлять уязвимости в своем коде до того, как он станет общедоступным.

Новая функция является результатом приобретения — в прошлом году GitHub купил платформу анализа кода Semmle. После нескольких месяцев бета-тестирования сканирование кода теперь доступно всем разработчикам.

По оценкам, около 60% проникновений связано с незакрытыми уязвимостями. Более того, считается, что 99% всех программных проектов содержат хотя бы один компонент с открытым исходным кодом, а это означает, что опасный код может влиять сразу на многие компании.

Как правило, исправление уязвимостей требует, чтобы исследователь сначала нашел уязвимость и сообщил о ней автору репозитория, который исправит проблему и предупредит сообщество, которое затем обновит свои собственные проекты с исправленной версией. В идеальном мире этот процесс займет минуты, но на самом деле он занимает гораздо больше времени — сначала требуется, чтобы кто-то нашел уязвимость, либо вручную проверив код, либо с помощью пентестинга, что может занять месяцы. А затем идет процесс поиска и уведомления разработчиков и ожидания, когда они выпустят исправление.

Новая функция сканирования кода GitHub — это инструмент статического тестирования безопасности приложений (SAST), который преобразует код в формат, доступный для анализа, а затем ищет шаблоны уязвимостей. Он автоматически определяет уязвимости и ошибки в новом коде в режиме реального времени, сообщая о них разработчику до того, как код попадает в рабочую среду.

Данные показывают, что только 15% уязвимостей исправляются через неделю после обнаружения, эта цифра возрастает почти до 30% в течение месяца и 45% через три месяца. Согласно GitHub, на этапе бета-тестирования он просканировал более 12 000 репозиториев более 1 миллиона раз, обнаружив в процессе 20 000 проблем с безопасностью. Компания заявила, что разработчики исправили 72% обнаруженных  ошибок в течение 30 дней.

Сканирование кода GitHub стало общедоступным сегодня, и его можно использовать бесплатно для всех общедоступных репозиториев. Частные репозитории могут получить доступ к этой функции через подписку GitHub Enterprise.

Если вы нашли опечатку - выделите ее и нажмите Ctrl + Enter! Для связи с нами вы можете использовать info@apptractor.ru.
Advertisement

Популярное

X

Спасибо!

Теперь редакторы в курсе.