GitHub开始推出其代码扫描工具,旨在帮助在公共部署之前识别漏洞

2020-10-01 01:13:32

GitHub今天正式推出了一个新的代码扫描工具,旨在帮助开发人员在代码部署到公众之前识别代码中的漏洞。

这一新功能是去年GitHub收购旧金山代码分析平台Semmle的结果;微软拥有的代码托管平台当时透露,它将使Semmle的CodeQL分析引擎在所有开源和企业存储库中本地可用。经过几个月的测试期,代码扫描现已向所有开发人员推出。

据估计,大约60%的安全漏洞涉及未打补丁的漏洞。此外,99%的软件项目据信至少包含一个开源组件,这意味着不可靠的代码可能会对许多公司产生重大的连锁反应。

通常,修复漏洞需要研究人员首先找到漏洞并将其披露给存储库维护人员,后者修复该问题并向社区发出警报,然后他们将自己的项目更新到修复的版本。在完美的情况下,这个过程需要几分钟才能完成,但在现实中,它需要的时间要长得多-它首先需要有人通过手动检查代码或通过五次测试(可能需要几个月的时间)来找到漏洞。然后是找到并通知维护人员并等待他们推出修复程序的过程。

GitHub的新代码扫描功能是一个静态应用程序安全测试(SAST)工具,其工作原理是将代码转换为可查询的格式,然后查找漏洞模式。它会自动实时识别代码更改中的漏洞和错误,并在代码接近生产之前将其标记给开发人员。

数据显示,只有15%的漏洞在发现一周后被修复,这个数字在一个月内上升到近30%,三个月后上升到45%。根据GitHub的数据,在测试阶段,它扫描了超过12000个存储库超过100万次,在这个过程中发现了20000个安全问题。至关重要的是,该公司表示,开发人员和维护人员在30天内修复了72%的代码错误。

已经有其他第三方工具设计用来帮助开发人员查找代码中的错误。总部位于伦敦的Snyk最近以26亿美元的估值筹集了2亿美元,该公司的目标是开发人员提供一个人工智能支持的平台,帮助他们识别和修复开放源代码中的缺陷。

这有助于突显自动化不仅在扩展安全操作方面发挥着越来越重要的作用,还在填补网络安全技能缺口方面发挥着越来越大的作用-GitHub的新代码扫描智能在一定程度上解放了安全研究人员,使他们能够专注于其他关键任务的工作。许多漏洞在根源上都有共同的属性,GitHub现在承诺自动发现这些错误的所有变体,使安全研究人员能够寻找全新的漏洞类别。此外,它作为直接烘焙到GitHub中的原生工具集这样做。

GitHub的代码扫描功能今天正式上市,所有公共存储库都可以免费使用。私有存储库可以通过GitHub Enterprise订阅获得对该功能的访问权限。