¡El escaneo de código ya está disponible en Github!

por

El escaneo de código de GitHub es un enfoque nativo de GitHub para desarrolladores que busca fácilmente vulnerabilidades de seguridad antes de que lleguen a producción. Estamos encantados de anunciar la disponibilidad general del escaneo de código. ¡Ya puedes habilitarlo en tu repositorio público!

Hace un año, GitHub le dio la bienvenida a Semmle. Desde entonces, han trabajado duro para llevar las revolucionarias capacidades de análisis de código de su tecnología CodeQL a los usuarios de GitHub como una capacidad nativa. En GitHub Satellite en Mayo, lanzaron la primera versión beta de la integración nativa del escaneo de código.

Ahora, gracias a los miles de desarrolladores de la comunidad que probaron y dieron sus comentarios, Github anuncia oficialmente que el escaneo de código está disponible de forma generalizada.

El escaneo de código te ayuda a prevenir problemas de seguridad en tu código

El escaneo de código está diseñado para los desarrolladores. En lugar de abrumarte con sugerencias, el escaneo de código ejecuta solo las reglas de seguridad procesables de forma predeterminada para que pueda mantenerse concentrado en la tarea en cuestión.

El escaneo de código se integra con GitHub Actions, o su entorno de CI / CD existente, para maximizar la flexibilidad de su equipo. Escanea el código a medida que se crea y muestra revisiones de seguridad procesables dentro de las solicitudes de extracción y otras experiencias de GitHub que usa todos los días, automatizando la seguridad como parte de su flujo de trabajo.

Esto ayuda a garantizar que las vulnerabilidades nunca lleguen a producción en primer lugar.

El escaneo de código está impulsado por CodeQL, el motor de análisis de código más poderoso del mundo. Puede usar las más de 2,000 consultas de CodeQL creadas por GitHub y la comunidad, o crear consultas personalizadas para encontrar y prevenir fácilmente nuevos problemas de seguridad.

Basado en el estándar abierto SARIF, el escaneo de código es extensible para que pueda incluir soluciones de prueba de seguridad de aplicaciones estáticas (SAST) de código abierto y comerciales dentro de la misma experiencia nativa de GitHub que ama.

Puedes integrar motores de análisis de terceros para ver los resultados de todas sus herramientas de seguridad en una sola interfaz y también exportar varios resultados de análisis a través de una única API. Pronto compartiremos más sobre nuestras capacidades de extensibilidad y nuestro ecosistema de socios, así que estad atentos.

¡Buenos resultados hasta el momento!

Desde que presentamos la versión beta en Mayo, hemos visto una gran adopción dentro de la comunidad:

  • Hemos escaneado más de 12.000 repositorios 1,4 millones de veces y hemos encontrado más de 20.000 problemas de seguridad, incluida la ejecución remota de código (RCE), la inyección de SQL y las vulnerabilidades de cross site scripting (XSS).
  • Los desarrolladores y mantenedores solucionaron el 72% de los errores de seguridad informados identificados en sus solicitudes de extracción antes de fusionarse en los últimos 30 días. Estamos orgullosos de ver este impacto, dado que los datos de la industria muestran que menos del 30% de todas las fallas se corrigen un mes después del descubrimiento.
  • Hemos tenido 132 contribuciones de la comunidad al conjunto de consultas de código abierto de CodeQL.
  • Nos hemos asociado con más de una docena de proveedores de seguridad comercial y de código abierto para permitir a los desarrolladores ejecutar CodeQL y soluciones líderes en la industria para SAST, escaneo de contenedores e infraestructura como validación de código en paralelo en la experiencia de escaneo de código nativo de GitHub.

Habilite el escaneo de código para repositorios públicos y privados

  • El escaneo de código es gratuito para los repositorios públicos. Obtenga más información sobre cómo habilitar el escaneo de código hoy.
  • Para los repositorios privados, el escaneo de código está disponible para GitHub Enterprise a través de Seguridad avanzada. Comuníquese con Ventas para obtener más información.
  • Para aquellos interesados ​​en ayudar a proteger el ecosistema de código abierto, también lo invitamos a contribuir a la creciente lista de consultas de CodeQL y convertirse en parte de nuestra creciente comunidad de seguridad.

Fuente: Blog oficial de Github

Relacionado

Visual Studio integrado en Github: Codespaces, nuevo editor beta integrado en tus repositorios

Contribuir con código a una comunidad puede ser difícil. Cada repositorio tiene su propia forma de configurar un entorno de desarrollo, que a menudo requiere docenas de pasos antes de poder escribir cualquier código. Peor aún, a veces el entorno de dos proyectos en los que está trabajando entra en conflicto entre sí. Codespaces te brinda un entorno de desarrollo con todas las funciones alojado en ¡SEGUIR LEYENDO!

Universo Github 2021

Un año más Github realiza el evento Universo de Github en el que presentan novedades y lanzan algunos webinar en los que impulsar y mejorar el uso de la plataforma. Si quieres acceder a todo el contenido, se requiere una cuenta de Github y el registro tanto en el Evento como en las sesiones y talleres que más te interesen. ?‍? ACCEDER AL UNIVERSO GITHUB 2021 ¡SEGUIR LEYENDO!

Un token de GitHub mal Gestionado expuso el Código fuente de Mercedes-Benz

El 29 de septiembre de 2023, ocurrió un importante incidente de seguridad en Mercedes-Benz, un reconocido fabricante de automóviles alemán. Un incidente de mal manejo de un token de GitHub resultó en un acceso no restringido al servidor interno de GitHub de la empresa, exponiendo código fuente crítico al público. Este artículo profundiza en los detalles del incidente, sus posibles consecuencias y las acciones posteriores tomadas ¡SEGUIR LEYENDO!

Scripting con GitHub CLI

Ha pasado un año desde que lanzamos la primera versión pública de GitHub CLI. Desde entonces, hemos agregado funcionalidad para administrar repositorios, comentar problemas, habilitar la fusión automática para solicitudes de extracción, configurar de forma segura valores secretos para acciones de GitHub y más. Sin embargo, donde las herramientas de línea de comandos realmente brillan es en su capacidad para combinarse con otras utilidades e integrarse ¡SEGUIR LEYENDO!

Presentación del Nuevo Director de Seguridad de GitHub

El mundo funciona con software, y una gran parte de él, especialmente el software de código abierto que es parte de todo lo que experimentamos, lo crean millones de desarrolladores en GitHub todos los días. GitHub está fuertemente invertido tanto en la seguridad de la plataforma como en ayudar a los desarrolladores a cambiar sus inversiones de seguridad en la creación de software seguro. La seguridad ¡SEGUIR LEYENDO!

Deja un comentario