El escaneo de código de GitHub es un enfoque nativo de GitHub para desarrolladores que busca fácilmente vulnerabilidades de seguridad antes de que lleguen a producción. Estamos encantados de anunciar la disponibilidad general del escaneo de código. ¡Ya puedes habilitarlo en tu repositorio público!

Hace un año, GitHub le dio la bienvenida a Semmle. Desde entonces, han trabajado duro para llevar las revolucionarias capacidades de análisis de código de su tecnología CodeQL a los usuarios de GitHub como una capacidad nativa. En GitHub Satellite en Mayo, lanzaron la primera versión beta de la integración nativa del escaneo de código.

Ahora, gracias a los miles de desarrolladores de la comunidad que probaron y dieron sus comentarios, Github anuncia oficialmente que el escaneo de código está disponible de forma generalizada.

El escaneo de código te ayuda a prevenir problemas de seguridad en tu código

El escaneo de código está diseñado para los desarrolladores. En lugar de abrumarte con sugerencias, el escaneo de código ejecuta solo las reglas de seguridad procesables de forma predeterminada para que pueda mantenerse concentrado en la tarea en cuestión.

El escaneo de código se integra con GitHub Actions, o su entorno de CI / CD existente, para maximizar la flexibilidad de su equipo. Escanea el código a medida que se crea y muestra revisiones de seguridad procesables dentro de las solicitudes de extracción y otras experiencias de GitHub que usa todos los días, automatizando la seguridad como parte de su flujo de trabajo.

Esto ayuda a garantizar que las vulnerabilidades nunca lleguen a producción en primer lugar.

El escaneo de código está impulsado por CodeQL, el motor de análisis de código más poderoso del mundo. Puede usar las más de 2,000 consultas de CodeQL creadas por GitHub y la comunidad, o crear consultas personalizadas para encontrar y prevenir fácilmente nuevos problemas de seguridad.

Basado en el estándar abierto SARIF, el escaneo de código es extensible para que pueda incluir soluciones de prueba de seguridad de aplicaciones estáticas (SAST) de código abierto y comerciales dentro de la misma experiencia nativa de GitHub que ama.

Puedes integrar motores de análisis de terceros para ver los resultados de todas sus herramientas de seguridad en una sola interfaz y también exportar varios resultados de análisis a través de una única API. Pronto compartiremos más sobre nuestras capacidades de extensibilidad y nuestro ecosistema de socios, así que estad atentos.

¡Buenos resultados hasta el momento!

Desde que presentamos la versión beta en Mayo, hemos visto una gran adopción dentro de la comunidad:

  • Hemos escaneado más de 12.000 repositorios 1,4 millones de veces y hemos encontrado más de 20.000 problemas de seguridad, incluida la ejecución remota de código (RCE), la inyección de SQL y las vulnerabilidades de cross site scripting (XSS).
  • Los desarrolladores y mantenedores solucionaron el 72% de los errores de seguridad informados identificados en sus solicitudes de extracción antes de fusionarse en los últimos 30 días. Estamos orgullosos de ver este impacto, dado que los datos de la industria muestran que menos del 30% de todas las fallas se corrigen un mes después del descubrimiento.
  • Hemos tenido 132 contribuciones de la comunidad al conjunto de consultas de código abierto de CodeQL.
  • Nos hemos asociado con más de una docena de proveedores de seguridad comercial y de código abierto para permitir a los desarrolladores ejecutar CodeQL y soluciones líderes en la industria para SAST, escaneo de contenedores e infraestructura como validación de código en paralelo en la experiencia de escaneo de código nativo de GitHub.

Habilite el escaneo de código para repositorios públicos y privados

  • El escaneo de código es gratuito para los repositorios públicos. Obtenga más información sobre cómo habilitar el escaneo de código hoy.
  • Para los repositorios privados, el escaneo de código está disponible para GitHub Enterprise a través de Seguridad avanzada. Comuníquese con Ventas para obtener más información.
  • Para aquellos interesados ​​en ayudar a proteger el ecosistema de código abierto, también lo invitamos a contribuir a la creciente lista de consultas de CodeQL y convertirse en parte de nuestra creciente comunidad de seguridad.

Relacionados

▷ La interfaz de comandos llega a GitHub, Github CLI 1.0

🥇 Visual Studio integrado en Github: Codespaces

▷ GitHub Super Linterna: Una linterna para gobernarlas a todas

▷ Aulas de Github: La automatización de las clases

▷ Mejores cursos gratis de flujos de trabajo

🛒 Los Mejores Chollos de Amazon, ¡Agrégalos a tu Lista de Deseos!

Fuente: Blog oficial de Github

El escaneo de código es un enfoque nativo de GitHub para desarrolladores que busca fácilmente vulnerabilidades de seguridad antes de que lleguen a producción.