Para ajudar o trabalho dos desenvolvedores, o GitHub tornou mais fácil achar vulnerabilidades em códigos com uma nova opção.
O GitHub introduziu uma nova opção para configurar a verificação de código para um repositório conhecido como “configuração padrão”, projetada para ajudar os desenvolvedores a configurá-lo automaticamente com apenas alguns cliques.
GitHub tornou mais fácil achar vulnerabilidades em códigos
Enquanto o mecanismo de análise de código CodeQL, que alimenta a varredura de código do GitHub, vem com suporte para muitos idiomas e compiladores, a nova opção só aparece para repositórios Python, JavaScript e Ruby.
O gerente de marketing de produtos, Walker Chabbott, disse que o GitHub está trabalhando para expandir o suporte para mais idiomas nos próximos seis meses.
Para usar a nova opção de configuração de verificação de código, você deve ir para “Segurança e análise de código” nas configurações do seu repo, clicar no menu suspenso “Configurar” e escolher a opção Padrão.
“Ao clicar em ‘Padrão’, você verá automaticamente um resumo de configuração personalizado com base no conteúdo do repositório”, disse Chabbott.
“Isso inclui os idiomas detectados no repositório, os pacotes de consulta que serão usados e os eventos que acionarão as varreduras. No futuro, essas opções serão personalizáveis.”
Depois de clicar em “Ativar CodeQL”, a varredura de código começará imediatamente a procurar vulnerabilidades no repositório para ajudá-lo a corrigir as falhas encontradas e criar um software mais seguro.
O mecanismo de análise de código CodeQL foi adicionado aos recursos da plataforma GitHub depois que a plataforma de análise de código Semmle foi adquirida em setembro de 2019.
A primeira versão beta da varredura de código no GitHub Satellite em maio de 2020 e sua disponibilidade geral foi anunciada quatro meses depois, em setembro de 2020.
Durante o teste beta, o recurso foi usado para verificar mais de 12.000 repositórios 1,4 milhão de vezes para encontrar mais de 20.000 problemas de segurança, incluindo execução remota de código (RCE), injeção de SQL e falhas de script entre sites (XSS).
A verificação de código é gratuita para todos os repositórios públicos e também está disponível como um recurso de segurança avançada do GitHub para repositórios privados do GitHub Enterprise.
No mês passado, o GitHub também lançou suporte para verificação gratuita de segredos expostos (como tokens de autenticação e credenciais) para todos os repositórios públicos.