GitHub сообщил о запуске сканера уязвимостей, который будет автоматически выявлять проблемы с безопасностью в размещённых на этой платформе программных проектах. Это усовершенствование делает принадлежащую Microsoft платформу хостинга программного кода более конкурентоспособной и, в перспективе, будет способствовать улучшению безопасности всей экосистемы Open Source, сообщает ko.com.ua.
Новый сканер уязвимостей основан на инструменте под названием CodeQL, который GitHub получила в прошлом году в результате приобретения стартапа. CodeQL позволяет разработчикам создавать абстрактное описание проблемы безопасности, а затем сканировать свои программные проекты в поисках кода, отвечающего этому описанию. Инструмент выполняет сканирование без участия человека, что значительно ускоряет анализ крупных кодовых баз.
Сейчас сканирование ведётся по двум тысячам шаблонов CodeQL. Обнаруженные программой ошибки отображаются в интерфейсе GitHub, и разработчики могут получить представление о степени уязвимости своего кода до его публикации. Интеграция с несколькими инструментами автоматизации разработки, по информации Microsoft, позволит компаниям предотвратить добавление уязвимого кода во внутренние программные репозитории.
Со временем GitHub планирует расширить первоначальную функциональность сканера. Так, сообщается, что разработчики получат возможность добавлять в набор шаблонов сканирования CodeQL свои собственные запросы. Кроме того, интеграция сканера уязвимостей с дополнительными продуктами других компаний будет способствовать обнаружению более широкого круга проблем безопасности.
Вклад нового сканера в повышение безопасности кода на GitHub уже ощущается. В рамках бета-тестирования, предшествовавшего вчерашнему запуску, CodeQL выявил более 20000 ошибок в 12000 репозиториях кода. Участники бета-программы исправили 72% этих ошибок быстрее, чем в среднем по отрасли.
Сканирование уязвимостей является бесплатным для всех репозиториев с открытым исходным кодом, а также доступно как часть платной версии GitHub Enterprise, что позволяет предприятиям использовать эту функцию для поиска проблем безопасности в своих внутренних программных проектах.
