¡El escaneo de código ya está disponible en Github!

El escaneo de código de GitHub es un enfoque nativo de GitHub para desarrolladores que busca fácilmente vulnerabilidades de seguridad antes de que lleguen a producción. Estamos encantados de anunciar la disponibilidad general del escaneo de código. ¡Ya puedes habilitarlo en tu repositorio público!

Hace un año, GitHub le dio la bienvenida a Semmle. Desde entonces, han trabajado duro para llevar las revolucionarias capacidades de análisis de código de su tecnología CodeQL a los usuarios de GitHub como una capacidad nativa. En GitHub Satellite en Mayo, lanzaron la primera versión beta de la integración nativa del escaneo de código.

Ahora, gracias a los miles de desarrolladores de la comunidad que probaron y dieron sus comentarios, Github anuncia oficialmente que el escaneo de código está disponible de forma generalizada.

El escaneo de código te ayuda a prevenir problemas de seguridad en tu código

El escaneo de código está diseñado para los desarrolladores. En lugar de abrumarte con sugerencias, el escaneo de código ejecuta solo las reglas de seguridad procesables de forma predeterminada para que pueda mantenerse concentrado en la tarea en cuestión.

El escaneo de código se integra con GitHub Actions, o su entorno de CI / CD existente, para maximizar la flexibilidad de su equipo. Escanea el código a medida que se crea y muestra revisiones de seguridad procesables dentro de las solicitudes de extracción y otras experiencias de GitHub que usa todos los días, automatizando la seguridad como parte de su flujo de trabajo.

Esto ayuda a garantizar que las vulnerabilidades nunca lleguen a producción en primer lugar.

El escaneo de código está impulsado por CodeQL, el motor de análisis de código más poderoso del mundo. Puede usar las más de 2,000 consultas de CodeQL creadas por GitHub y la comunidad, o crear consultas personalizadas para encontrar y prevenir fácilmente nuevos problemas de seguridad.

Basado en el estándar abierto SARIF, el escaneo de código es extensible para que pueda incluir soluciones de prueba de seguridad de aplicaciones estáticas (SAST) de código abierto y comerciales dentro de la misma experiencia nativa de GitHub que ama.

Puedes integrar motores de análisis de terceros para ver los resultados de todas sus herramientas de seguridad en una sola interfaz y también exportar varios resultados de análisis a través de una única API. Pronto compartiremos más sobre nuestras capacidades de extensibilidad y nuestro ecosistema de socios, así que estad atentos.

¡Buenos resultados hasta el momento!

Desde que presentamos la versión beta en Mayo, hemos visto una gran adopción dentro de la comunidad:

  • Hemos escaneado más de 12.000 repositorios 1,4 millones de veces y hemos encontrado más de 20.000 problemas de seguridad, incluida la ejecución remota de código (RCE), la inyección de SQL y las vulnerabilidades de cross site scripting (XSS).
  • Los desarrolladores y mantenedores solucionaron el 72% de los errores de seguridad informados identificados en sus solicitudes de extracción antes de fusionarse en los últimos 30 días. Estamos orgullosos de ver este impacto, dado que los datos de la industria muestran que menos del 30% de todas las fallas se corrigen un mes después del descubrimiento.
  • Hemos tenido 132 contribuciones de la comunidad al conjunto de consultas de código abierto de CodeQL.
  • Nos hemos asociado con más de una docena de proveedores de seguridad comercial y de código abierto para permitir a los desarrolladores ejecutar CodeQL y soluciones líderes en la industria para SAST, escaneo de contenedores e infraestructura como validación de código en paralelo en la experiencia de escaneo de código nativo de GitHub.

Habilite el escaneo de código para repositorios públicos y privados

  • El escaneo de código es gratuito para los repositorios públicos. Obtenga más información sobre cómo habilitar el escaneo de código hoy.
  • Para los repositorios privados, el escaneo de código está disponible para GitHub Enterprise a través de Seguridad avanzada. Comuníquese con Ventas para obtener más información.
  • Para aquellos interesados ​​en ayudar a proteger el ecosistema de código abierto, también lo invitamos a contribuir a la creciente lista de consultas de CodeQL y convertirse en parte de nuestra creciente comunidad de seguridad.

Fuente: Blog oficial de Github

Relacionado

Incluye diagramas en Github dentro de tus archivos Markdown con Mermaid

Una imagen vale más que mil palabras, y ahora puedes crear y editar rápidamente diagramas en Markdown usando el soporte de Mermaid dentro de tus archivos de Markdown. [azonpress template="box" asin="B098KHTVJ2"] Mermaid es una herramienta de gráficos y diagramas basada en JavaScript que toma definiciones de ¡SEGUIR LEYENDO!

Microsoft demandado por piratería de código abierto mediante GitHub Copilot

El programador y abogado Matthew Butterick demandó a Microsoft, GitHub y OpenAI, alegando que Copilot de GitHub viola los términos de las licencias de código abierto e infringe los derechos de los programadores. GitHub Copilot, lanzado en junio de 2022, es una ayuda de programación basada ¡SEGUIR LEYENDO!

¡Hey Github! Github Copiloto ahora permite programar por voz

¡Hola GitHub! es una nueva plataforma que te permite escribir código sin tener que picar código, sin la necesidad de poner la mano en el teclado de tu computadora: Simplemente usando comandos de voz. No es necesario deletrear los términos usados, basta con recurrir a instrucciones ¡SEGUIR LEYENDO!

¿Cómo agregar un repositorio de GitHub a Jira?

Cuando Jira es tu solución de gestión de proyectos preferida, sabes que tienes un mundo de opciones al alcance de la mano. Si tus proyectos son de desarrollo de software, debes ser plenamente consciente de que tus equipos necesitarán tener algún tipo de conexión con repositorios ¡SEGUIR LEYENDO!

El rol de desarrollador está cambiando radicalmente y estas cifras lo demuestran

Los datos de Github sugieren que ahora hay más desarrolladores que nunca. Esto es lo que ha cambiado. GitHub, propiedad de Microsoft, dice que ahora cuenta con más de 100 millones de desarrolladores que utilizan el servicio de alojamiento de código. Si los 100 millones de ¡SEGUIR LEYENDO!

Deja un comentario