GitHub正式推出原生程式碼掃描(Code scanning)服務,讓開發者可以在應用程式投入生產前,就能發現存在的安全漏洞,現在所有使用者都可以在公開儲存庫中,立即啟用這項程式碼掃描功能。這項功能來自於GitHub在2019年時,所併購的漏洞探索平臺Semmle,透過將其CodeQL技術整合進GitHub平臺,提供用戶原生漏洞探索功能。
官方提到,在預設情況下,程式碼掃描不會提供過多的程式碼建議,只會執行可行的安全規則,使開發者能夠專注於手中的開發工作。程式碼掃描與GitHub Actions,或是現有的CI/CD環境整合,使得開發團隊,可以靈活地將程式碼掃描帶入開發流程中。
程式碼掃描會在創建程式碼的時候進行掃描,並在拉取請求和GitHub的日常使用中,顯示可進行的安全性操作建議,在工作流程中自動化安全性檢查,而這將有助在軟體漏洞進到生產環境前,開發者就能先發現存在的安全性問題。程式碼掃描使用CodeQL程式碼分析引擎,開發者可以利用GitHub和社群已經創建的2,000多個CodeQL查詢,或是使用自定義的查詢,發現程式碼中的漏洞。
由於程式碼掃描服務建立在開放SARIF標準上,因此該功能是可以擴展的,使用者可以結合開源或是商業靜態應用程式安全測試(SAST)解決方案,或是整合第三方掃描引擎,在單一介面中,查看所有安全工具的結果,或是利用API匯出掃描結果。
GitHub在5月推出程式碼掃描服務測試版以來,已經掃描12,000個存儲庫,共進行了140萬次掃描,發現了20,000多個安全問題,這些安全問題包括遠端程式碼執行、SQL注入和跨站腳本漏洞等。官方表示,程式碼掃描服務讓社群更積極解決漏洞,過去30天內,有72%程式碼掃描服務發現的錯誤,在拉取請求合併之前,就已經被開發者修復,而這比起過往,低於30%的漏洞在發現一個月內,就被修復的統計數字高上不少。
目前公開程式碼儲存庫可以免費使用程式碼掃描服務,而私有儲存庫則是要透過企業版GitHub的Advanced Security服務啟用。
線