GitHub ввёл в строй сервис для выявления уязвимостей в коде

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 2 месяца
Сообщений: 27286

news_bot ^® написал(а)
01-Окт-2020 03:33

Цитировать

GitHub объявил о доступности для всех пользователей сервиса Code scanning, который ранее предлагался только участникам ограниченной программы тестирования новых экспериментальных возможностей. Сервис обеспечивает сканирование каждой операции "git push" на предмет потенциальных уязвимостей. Результат прикрепляется непосредственно к pull-запросу. Проверка выполняется с использованием движка CodeQL, анализирующего шаблоны с типовыми примерами уязвимого кода (CodeQL позволяет сформировать шаблон уязвимого кода для выявления наличия подобной уязвимости в коде других проектов).
За время бета-тестирования сервиса в ходе сканироваиня около 12 тысяч репозиториев было выявлено более 20 тысяч проблем с безопасностью, среди которых были и серьёзные проблемы, приводящие к удалённому исполнению кода и подстановке SQL-запросов. 72% из найденных проблем были выявлены на стадии рассмотрения pull-запроса, до его принятия, и исправлены менее чем за 30 дней (для сравнения общая статистика по индустрии показывает, что лишь 30% уязвимостей устраняется менее чем за месяц после обнаружения).

===========
Источник:
OpenNet.RU
===========

GitHub ввёл в строй сервис для выявления уязвимостей в коде

Похожие новости