¡El escaneo de código ya está disponible en Github!

por Pablo Álvarez Corredera

El escaneo de código de GitHub es un enfoque nativo de GitHub para desarrolladores que busca fácilmente vulnerabilidades de seguridad antes de que lleguen a producción. Estamos encantados de anunciar la disponibilidad general del escaneo de código. ¡Ya puedes habilitarlo en tu repositorio público!

Hace un año, GitHub le dio la bienvenida a Semmle. Desde entonces, han trabajado duro para llevar las revolucionarias capacidades de análisis de código de su tecnología CodeQL a los usuarios de GitHub como una capacidad nativa. En GitHub Satellite en Mayo, lanzaron la primera versión beta de la integración nativa del escaneo de código.

Ahora, gracias a los miles de desarrolladores de la comunidad que probaron y dieron sus comentarios, Github anuncia oficialmente que el escaneo de código está disponible de forma generalizada.

El escaneo de código te ayuda a prevenir problemas de seguridad en tu código

El escaneo de código está diseñado para los desarrolladores. En lugar de abrumarte con sugerencias, el escaneo de código ejecuta solo las reglas de seguridad procesables de forma predeterminada para que pueda mantenerse concentrado en la tarea en cuestión.

El escaneo de código se integra con GitHub Actions, o su entorno de CI / CD existente, para maximizar la flexibilidad de su equipo. Escanea el código a medida que se crea y muestra revisiones de seguridad procesables dentro de las solicitudes de extracción y otras experiencias de GitHub que usa todos los días, automatizando la seguridad como parte de su flujo de trabajo.

Esto ayuda a garantizar que las vulnerabilidades nunca lleguen a producción en primer lugar.

El escaneo de código está impulsado por CodeQL, el motor de análisis de código más poderoso del mundo. Puede usar las más de 2,000 consultas de CodeQL creadas por GitHub y la comunidad, o crear consultas personalizadas para encontrar y prevenir fácilmente nuevos problemas de seguridad.

Basado en el estándar abierto SARIF, el escaneo de código es extensible para que pueda incluir soluciones de prueba de seguridad de aplicaciones estáticas (SAST) de código abierto y comerciales dentro de la misma experiencia nativa de GitHub que ama.

Puedes integrar motores de análisis de terceros para ver los resultados de todas sus herramientas de seguridad en una sola interfaz y también exportar varios resultados de análisis a través de una única API. Pronto compartiremos más sobre nuestras capacidades de extensibilidad y nuestro ecosistema de socios, así que estad atentos.

RELACIONADOS:  Novedades del Universo Github 2020: Nuevo modo oscuro, patrocinadores de GitHub para empresas y más

¡Buenos resultados hasta el momento!

Desde que presentamos la versión beta en Mayo, hemos visto una gran adopción dentro de la comunidad:

  • Hemos escaneado más de 12.000 repositorios 1,4 millones de veces y hemos encontrado más de 20.000 problemas de seguridad, incluida la ejecución remota de código (RCE), la inyección de SQL y las vulnerabilidades de cross site scripting (XSS).
  • Los desarrolladores y mantenedores solucionaron el 72% de los errores de seguridad informados identificados en sus solicitudes de extracción antes de fusionarse en los últimos 30 días. Estamos orgullosos de ver este impacto, dado que los datos de la industria muestran que menos del 30% de todas las fallas se corrigen un mes después del descubrimiento.
  • Hemos tenido 132 contribuciones de la comunidad al conjunto de consultas de código abierto de CodeQL.
  • Nos hemos asociado con más de una docena de proveedores de seguridad comercial y de código abierto para permitir a los desarrolladores ejecutar CodeQL y soluciones líderes en la industria para SAST, escaneo de contenedores e infraestructura como validación de código en paralelo en la experiencia de escaneo de código nativo de GitHub.

Habilite el escaneo de código para repositorios públicos y privados

  • El escaneo de código es gratuito para los repositorios públicos. Obtenga más información sobre cómo habilitar el escaneo de código hoy.
  • Para los repositorios privados, el escaneo de código está disponible para GitHub Enterprise a través de Seguridad avanzada. Comuníquese con Ventas para obtener más información.
  • Para aquellos interesados ​​en ayudar a proteger el ecosistema de código abierto, también lo invitamos a contribuir a la creciente lista de consultas de CodeQL y convertirse en parte de nuestra creciente comunidad de seguridad.

Fuente: Blog oficial de Github

Relacionado

21 Nuevos Cursos Gratuitos: Python, Google Cloud, CSS y Más (25 de Febrero 2021)

Como de costumbre, vamos con los cursos gratis, tenemos 3 cursos en español: Computación, Google Cloud y aplicaciones web; y 18 cursos gratuitos en inglés: Python, Flask, Ionic, PHP, Android, Github, CSS, Flexbox, Illustrator, Photoshop, Scrum y minado de Sugar. Recuerda, que puedes si quieres, puedes acceder a las Mejores Ofertas de Udemy ¡Alé, aprendamos gratis un ratico! Cursos en Español Computación ? Curso Gratuito de ¡SEGUIR LEYENDO!

4 Cosas que no sabías que podías hacer con las Acciones de GitHub

GitHub Actions es una plataforma poderosa que permite a un equipo pasar el código a la nube, todo desde la comodidad de los repositorios git. A continuación se analizan algunos ejemplos de cómo se pueden usar las acciones de GitHub para automatizar y orquestar un canal para DevOps a través de las acciones de Github. 1. Comprimir las imágenes para la web GitHub Marketplace es un ¡SEGUIR LEYENDO!

RELACIONADOS:  34 Mejores Cursos Gratis de Flujos de Trabajo
Conociendo las acciones de Github: Colección de Enlaces Awesome

Las acciones de GitHub facilitan la automatización de todos tus flujos de trabajo de software. Las acciones de Github permiten construir, probar e implementar el código directamente desde GitHub. Bien si deseas construir un contenedor, implementar un servicio web o automatizar la bienvenida de un nuevo usuario en tu proyecto de código abierto, es muy posible que exista una acción automatizada para ello. La forma más ¡SEGUIR LEYENDO!

Aprender a programar en Android con Google, desde principiantes hasta avanzado

El equipo de capacitación de desarrolladores de Google publicó recientemente una versión actualizada del curso Fundamentos de desarrollo para Android como una serie continua de tutoriales a través de Google Codelabs. Codelabs hizo su debut como sitio de tutoriales en Google I/O en 2015, y se ha disparado en popularidad como una de las mejores plataformas del mundo para aprender y estudiar absolutamente todo sobre Android. ¡SEGUIR LEYENDO!

Mejores Libros PDF de Programación y Tecnología GRATIS

Los Mejores Libros PDF Gratuitos de Informática. EL sitio perfecto para aprender a programar desde cero para principiantes con las mejores guías gratis. Esta es la mejor lista de libros de programación en PDF en español del mundo. Una completa biblioteca recopilada de cientos y cientos de libros en PDF que no encontrarás en ninguna parte más. Aquí, vas a encontrar libros enfocados hacía programadores. Sobre ¡SEGUIR LEYENDO!

Visual Studio integrado en Github: Codespaces, nuevo editor beta integrado en tus repositorios

Contribuir con código a una comunidad puede ser difícil. Cada repositorio tiene su propia forma de configurar un entorno de desarrollo, que a menudo requiere docenas de pasos antes de poder escribir cualquier código. Peor aún, a veces el entorno de dos proyectos en los que está trabajando entra en conflicto entre sí. Codespaces te brinda un entorno de desarrollo con todas las funciones alojado en ¡SEGUIR LEYENDO!

¿Cómo agregar un repositorio de GitHub a Jira?

Cuando Jira es tu solución de gestión de proyectos preferida, sabes que tienes un mundo de opciones al alcance de la mano. Si tus proyectos son de desarrollo de software, debes ser plenamente consciente de que tus equipos necesitarán tener algún tipo de conexión con repositorios de código como GitHub. Jira incluye una función que no solo te permite unirte a los repositorios específicos de GitHub, ¡SEGUIR LEYENDO!

Deja un comentario

Salir de la versión móvil