隱私權聲明
本公司關心使用者隱私權與個人資訊,並遵守本公司的網站隱私政策,使用者若有任何問題,可以參考本公司的「網站隱私政策」,或利用電子郵件或連絡電話詢問本公司.
2020
10
06

GitHub公開儲存庫現可免費啟用程式碼掃瞄服務 [轉載自iThome]

關鍵字:程式設計專案開發資訊安全

GitHub正式推出原生程式碼掃描(Code scanning)服務,讓開發者可以在應用程式投入生產前,就能發現存在的安全漏洞,現在所有使用者都可以在公開儲存庫中,立即啟用這項程式碼掃描功能。這項功能來自於GitHub在2019年時,所併購的漏洞探索平臺Semmle,透過將其CodeQL技術整合進GitHub平臺,提供用戶原生漏洞探索功能。

官方提到,在預設情況下,程式碼掃描不會提供過多的程式碼建議,只會執行可行的安全規則,使開發者能夠專注於手中的開發工作。程式碼掃描與GitHub Actions,或是現有的CI/CD環境整合,使得開發團隊,可以靈活地將程式碼掃描帶入開發流程中。

程式碼掃描會在創建程式碼的時候進行掃描,並在拉取請求和GitHub的日常使用中,顯示可進行的安全性操作建議,在工作流程中自動化安全性檢查,而這將有助在軟體漏洞進到生產環境前,開發者就能先發現存在的安全性問題。程式碼掃描使用CodeQL程式碼分析引擎,開發者可以利用GitHub和社群已經創建的2,000多個CodeQL查詢,或是使用自定義的查詢,發現程式碼中的漏洞。

由於程式碼掃描服務建立在開放SARIF標準上,因此該功能是可以擴展的,使用者可以結合開源或是商業靜態應用程式安全測試(SAST)解決方案,或是整合第三方掃描引擎,在單一介面中,查看所有安全工具的結果,或是利用API匯出掃描結果。

GitHub在5月推出程式碼掃描服務測試版以來,已經掃描12,000個存儲庫,共進行了140萬次掃描,發現了20,000多個安全問題,這些安全問題包括遠端程式碼執行、SQL注入和跨站腳本漏洞等。官方表示,程式碼掃描服務讓社群更積極解決漏洞,過去30天內,有72%程式碼掃描服務發現的錯誤,在拉取請求合併之前,就已經被開發者修復,而這比起過往,低於30%的漏洞在發現一個月內,就被修復的統計數字高上不少。

目前公開程式碼儲存庫可以免費使用程式碼掃描服務,而私有儲存庫則是要透過企業版GitHub的Advanced Security服務啟用。

你可能有興趣的作品案例
傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策

線上詢價