GitHub代码扫描是开发人员优先的,GitHub原生的方法,可在安全漏洞投入生产之前轻松找到它们。我们很高兴宣布代码扫描已全面上市。您可以立即在公共存储库中启用它!
一年前,GitHub欢迎Semmle。自那以来,我们一直致力于将其CodeQL技术的革命性代码分析功能作为本机功能带给GitHub用户。在五月的GitHub卫星上,我们发布了本机集成的第一个beta:代码扫描。现在,由于社区中成千上万的开发人员进行了测试并提供了反馈,我们很自豪地宣布代码扫描已普遍可用。
代码扫描可帮助您防止代码中的安全性问题
代码扫描首先是为开发人员设计的。默认情况下,代码扫描不会运行过多的建议,而只会使可行的安全规则运行,因此您可以专注于手头的任务。
代码扫描与GitHub Actions或您现有的CI / CD环境集成在一起,以最大程度地为您的团队提供灵活性。它会在创建代码时对其进行扫描,并在拉取请求和您日常使用的其他GitHub体验中显示可操作的安全性检查,从而将安全性自动化作为工作流的一部分。这有助于确保漏洞从一开始就不会进入生产环境。
代码扫描由CodeQL(世界上功能最强大的代码分析引擎)提供动力。您可以使用GitHub和社区创建的2,000多个CodeQL查询,也可以创建自定义查询来轻松查找和避免新的安全问题。
基于开放的SARIF标准,代码扫描是可扩展的,因此您可以将开源和商业静态应用程序安全测试(SAST)解决方案包含在您喜欢的GitHub原生体验中。您可以集成第三方扫描引擎,以在单个界面中查看所有安全工具的结果,还可以通过单个API导出多个扫描结果。我们将尽快分享更多有关我们的可扩展性功能和合作伙伴生态系统的信息,敬请期待。
到目前为止令人兴奋的结果!
自5月推出测试版以来,我们在社区中获得了广泛的采用:
我们已经扫描了12,000个存储库140万次,发现了20,000多个安全问题,包括远程代码执行(RCE),SQL注入和跨站点脚本(XSS)漏洞。开发人员和维护人员在最近30天内进行合并之前,已修复了在拉取请求中发现的报告的安全错误的72%。我们很高兴看到这种影响,因为行业数据显示,发现缺陷后一个月内修复的缺陷不足30%。我们为CodeQL的开源查询集贡献了132个社区。我们已经与十多家开源和商业安全供应商建立了合作伙伴关系,以使开发人员能够运行CodeQL和业界领先的SAST,容器扫描和基础架构解决方案,以与GitHub的本机代码扫描经验并行进行代码验证。听到已经使用它的团队的声音
代码扫描对于公共存储库是免费的,并且是GitHub Enterprise的GitHub Advanced Security功能。到目前为止,一些团队分享了他们在代码扫描方面的经验:
“我们选择Advanced Security的原因是它具有开箱即用的功能以及可以构建的自定义功能。我们无需花一整天的时间来查找和解决一个安全问题,而是能够在相同的时间内找到并解决三个问题。”–夏洛特·汤斯利(Charlotte Townsley),Auth0安全工程总监
“ GitHub允许我们启用安全性,而不是强制性。从长远来看,我们越早发现漏洞和产品问题,对公司越有利。”– McKesson Labs开发人员服务总监James Hurley
“如果Advanced Security报告错误问题,则不允许合并拉取请求。如果发现安全问题,我们会立即得到通知。我们仔细研究了GitHub突出显示的所有内容,并确保在发布稳定版本之前已解决该问题。对于将按下合并按钮的开发人员而言,这激发了人们的信心。”– Netdata首席技术官Dimosthenis Kaponis
启用公共和私有存储库的代码扫描
公共存储库免费提供代码扫描。立即了解有关如何启用代码扫描的更多信息。对于私有存储库,代码扫描可通过高级安全性提供给GitHub Enterprise。与销售人员联系以了解更多信息。对于那些有兴趣帮助保护开源生态系统的人,我们还邀请您为不断增长的CodeQL查询列表做出贡献,并成为我们不断发展的安全社区的一部分。
(本文转载于网络)
