设想一个软件漏洞更少的世界

经过5个月的测试后,“代码扫描”安全功能已获得 普遍可用 对所有用户:对于公共存储库是免费的,对于私有存储库是付费的选择。

 代码扫描

“世界上许多开发都发生在GitHub上,因此安全不仅是我们的机会,也是我们的责任。为了大规模保护软件,我们需要产生可以推动最大变化的基本影响。从代码开始” 格雷·贝克,’的产品管理高级总监告诉Help Net Security。

“我们之前构建的所有内容都是关于响应安全事件(依赖扫描, 秘密扫描, Dependabot)-实时快速做出反应。我们的未来状态是通过将安全核心转移到开发人员工作流中,从根本上防止漏洞的发生。”

代码扫描

Code Scanning功能由CodeQL支持,CodeQL是由Semmle构建的功能强大的静态分析引擎,该引擎于2019年9月被收购。

该引擎可以分析用C,C ++,C#,Java,JavaScript,TypeScript,Python和Go编写的代码,但是由于代码扫描功能基于开放的SARIF标准构建,因此它还可以与GitHub上可用的第三方分析引擎一起使用市场。

“我们希望开发人员能够在他们喜欢的本机GitHub体验中,针对GitHub上的任何项目使用他们选择的工具。迄今为止,我们已经与十多家开源和商业安全供应商建立了合作伙伴关系,并将继续通过GitHub Actions和Apps将代码扫描与其他第三方供应商集成在一起,” Baker noted.

动作

通过Actions提供自动安全扫描的第三方包括 Checkmarx国防法.

 代码扫描

“这样做的主要价值在于,开发人员可以使用自己喜欢的扫描工具,在最习惯的代码开发生态系统中工作并留在其中,” explained 詹姆斯·布罗托斯Checkmarx的高级解决方案工程师。

“GitHub是开发人员非常受欢迎的资源,因此拥有可以确保代码安全而不妨碍敏捷性的东西至关重要。我们能够直接在GitHub仓库中自动进行SAST和SCA扫描的功能简化了工作流程,并消除了开发周期中传统上会妨碍工作的繁琐步骤 实现DevSecOps.”

Checkmarx的SCA(软件组成分析)可帮助开发人员发现并纠正包含在应用程序中的开源组件中的漏洞,并根据严重性对漏洞进行优先级排序。 Checkmarx SAST(静态应用程序安全性测试)会扫描专有代码库(甚至是未经编译的代码),以检测新漏洞和现有漏洞。

“所有这些都是以自动化的方式完成的,因此,在发出拉取请求时,就会触发扫描,并将结果直接嵌入到GitHub中。这些集成在一起可全面描绘整个应用程序的安全状况,以确保消除所有潜在的差距,” Brotsos added.

莱昂·朱拉尼克(Leon Juranic)国防法的CTO表示,他们对这项计划感到非常兴奋,因为它为超过50亿的Github用户提供了访问安全分析的权限。

“在GitHub中将安全分析结果显示为代码扫描警报时,提供了一种方便的方法,可以对修复进行分类和确定优先级,此过程可能很麻烦,通常需要滚动浏览导出报告的许多页面,在代码和报告结果之间来回切换,或在安全工具提供的信息中心中查看它们。现在,易于使用意味着您可以针对项目中的潜在漏洞启动扫描,查看,修复和关闭警报’在已经熟悉并且大多数其他工作流程都已完成的环境中,” he noted.

一个星期前 宣布 通过42Crunch,Accurics,Bridgecrew,Snyk,Aqua Security和Anchore的集成,为容器扫描和基础架构的标准和配置扫描提供了额外的支持。

好处和未来计划

“我们希望代码扫描可以通过在代码检查时捕获这些漏洞来防止数千个漏洞的存在。我们设想一个软件漏洞更少的世界,因为安全审查是开发人员工作流程的自动化部分,” Baker explained.

“在代码扫描测试版期间,开发人员修复了CodeQL发现并在代码扫描请求请求体验中报告的72%的安全错误。实现如此高的修复率是多年研究的结果,也是一种易于理解每个结果的集成。”

他说,有超过12,000个存储库在Beta版中尝试了代码扫描,自从普遍可用以来,又有7,000个存储库启用了该功能,并且收到了很多人的好评。 突出显示 有价值的安全发现。

“我们将继续迭代并关注社区的反馈,包括对访问控制和权限的重视,这些对我们的用户来说是高度优先的,” he concluded.

分享这个