Най-популярното хранилище за код в Интернет GitHub публикува тази седмица нов инструмент, който е достъпен до всички с името Code Scanning.
От описанието на услугата се разбира, че тя „помага на разработчиците в откриването на уязвимости в кода преди той да достигне продуктово състояние чрез анализ на всяка pull request, commit и merge заявка – разпознавайки уязвимия код веднага щом е създаден“, цитира GitHub ZDNet. Веднъж регистрирани уязвимостите, Code Scanning се задейства, като изисква от разработчика да ревизира кода си. Новата характеристика използва за своите цели CodeQL, технология, разработена от Semmle, компания, която GitHub придобиха миналата година. Самият CodeQL е език с общо предназначение, който позволява на разработчиците да пишат правила, с които да се засичат различни версии на една и съща уязвимост през набор от големи кодови бази.
За да се активира Code Scanning, потребителите е нужно да посетят таба Security във всяко от хранилищата, в което искат тази опция да е активирана. От екипа на GitHub споделят, че са подготвили над 2000 предварително изготвени CodeQL сценария, които могат да бъдат задействани и да се проверява за най-основните уязвимости в сигурността при публикуването на нов код. Освен това, ползващите помощта на CodeQL могат да се възползват от възможността за персонализирани темплейти, написани от собственици на хранилища или чрез добавянето на открити, външни или комерсиални решения за проверка на сигурността на статични приложения.
