Новости
GitHub запускает сканирование кода на уязвимости
Сегодня GitHub официально запускает новый инструмент сканирования кода, призванный помочь разработчикам выявлять уязвимости в своем коде до того, как он станет общедоступным.
Сегодня GitHub официально запускает новый инструмент сканирования кода, призванный помочь разработчикам выявлять уязвимости в своем коде до того, как он станет общедоступным.
Новая функция является результатом приобретения — в прошлом году GitHub купил платформу анализа кода Semmle. После нескольких месяцев бета-тестирования сканирование кода теперь доступно всем разработчикам.
По оценкам, около 60% проникновений связано с незакрытыми уязвимостями. Более того, считается, что 99% всех программных проектов содержат хотя бы один компонент с открытым исходным кодом, а это означает, что опасный код может влиять сразу на многие компании.
Как правило, исправление уязвимостей требует, чтобы исследователь сначала нашел уязвимость и сообщил о ней автору репозитория, который исправит проблему и предупредит сообщество, которое затем обновит свои собственные проекты с исправленной версией. В идеальном мире этот процесс займет минуты, но на самом деле он занимает гораздо больше времени — сначала требуется, чтобы кто-то нашел уязвимость, либо вручную проверив код, либо с помощью пентестинга, что может занять месяцы. А затем идет процесс поиска и уведомления разработчиков и ожидания, когда они выпустят исправление.
Новая функция сканирования кода GitHub — это инструмент статического тестирования безопасности приложений (SAST), который преобразует код в формат, доступный для анализа, а затем ищет шаблоны уязвимостей. Он автоматически определяет уязвимости и ошибки в новом коде в режиме реального времени, сообщая о них разработчику до того, как код попадает в рабочую среду.
Данные показывают, что только 15% уязвимостей исправляются через неделю после обнаружения, эта цифра возрастает почти до 30% в течение месяца и 45% через три месяца. Согласно GitHub, на этапе бета-тестирования он просканировал более 12 000 репозиториев более 1 миллиона раз, обнаружив в процессе 20 000 проблем с безопасностью. Компания заявила, что разработчики исправили 72% обнаруженных ошибок в течение 30 дней.
Сканирование кода GitHub стало общедоступным сегодня, и его можно использовать бесплатно для всех общедоступных репозиториев. Частные репозитории могут получить доступ к этой функции через подписку GitHub Enterprise.
-
Видео и подкасты для разработчиков1 месяц назад
Lua – идеальный встраиваемый язык
-
Новости1 месяц назад
Poolside, занимающийся ИИ-программированием, привлек $500 млн
-
Новости1 месяц назад
Видео и подкасты о мобильной разработке 2024.40
-
Новости1 месяц назад
Видео и подкасты о мобильной разработке 2024.41