GitHub facilita el escaneo de su código en busca de vulnerabilidades

GitHub facilita el escaneo de su código en busca de vulnerabilidades – Codelivly

GitHub ha introducido una nueva opción para configurar el análisis de código para un repositorio llamada "configuración predeterminada", diseñada para ayudar a los desarrolladores a configurarlo automáticamente con solo unos pocos clics.

Si bien el motor de análisis de código CodeQL, que impulsa el análisis de código de GitHub, admite muchos lenguajes y compiladores, la nueva opción solo aparece para los repositorios de Python, JavaScript y Ruby.

El gerente de marketing de productos, Walker Chabbott, dijo que GitHub está trabajando para expandir el soporte para más idiomas durante los próximos seis meses.

Para usar la nueva opción de configuración de análisis de código, debe ir a "Análisis de código y seguridad" en la configuración de su repositorio, hacer clic en el menú desplegable "Configurar" y elegir la opción predeterminada.

"Cuando hace clic en 'Predeterminado', verá automáticamente un resumen de configuración personalizado basado en el contenido del repositorio", dijo Chabbott.

“Esto incluye los idiomas detectados en el repositorio, los paquetes de consulta que se utilizarán y los eventos que activarán los escaneos. En el futuro, estas opciones serán personalizables.

Después de hacer clic en "Habilitar CodeQL", Code Analysis comenzará inmediatamente a escanear el repositorio en busca de vulnerabilidades para ayudarlo a corregir cualquier falla que encuentre y crear un software más seguro.

Configuración de análisis de código predeterminado
Configuración de análisis de código predeterminada (GitHub)

El motor de análisis de código CodeQL se agregó a las capacidades de la plataforma GitHub después de la adquisición de la plataforma de análisis de código Semmle en septiembre de 2019.

El primer escaneo de código beta en GitHu b Satellite en mayo de 2020 y la disponibilidad general se anunció cuatro meses después, en septiembre de 2020.

Durante las pruebas beta, la función se utilizó para escanear más de 12 000 repositorios 1,4 millones de veces para encontrar más de 20 000 problemas de seguridad, incluidas fallas de ejecución remota de código (RCE), SQL e inyección de secuencias de comandos entre sitios (XSS).

El análisis de código es gratuito para todos los repositorios públicos y también está disponible como una característica de seguridad avanzada de GitHub para repositorios privados de GitHub Enterprise.

El mes pasado, GitHub también implementó soporte para el escaneo gratuito de secretos expuestos (como tokens de autenticación y credenciales) en todos los repositorios públicos.

Si quieres conocer otros artículos parecidos a GitHub facilita el escaneo de su código en busca de vulnerabilidades puedes visitar la categoría Tutoriales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Esta página web utiliza cookies para analizar de forma anónima y estadística el uso que haces de la web, mejorar los contenidos y tu experiencia de navegación. Para más información accede a la Política de Cookies . Ver mas