GitHub正式推出原生程序代码扫描(Code scanning)服务,让开发者可以在应用程序投入生产前,就能发现存在的安全漏洞,现在所有用户都可以在公开存储库中,立即激活这项程序代码扫描功能。这项功能来自于GitHub在2019年时,所并购的漏洞探索平台Semmle,通过将其CodeQL技术集成进GitHub平台,提供用户原生漏洞探索功能。
官方提到,在默认情况下,程序代码扫描不会提供过多的程序代码建议,只会执行可行的安全规则,使开发者能够专注于手中的开发工作。程序代码扫描与GitHub Actions,或是现有的CI/CD环境集成,使得开发团队,可以灵活地将程序代码扫描带入开发流程中。
程序代码扫描会在创建程序代码的时候进行扫描,并在拉取请求和GitHub的日常使用中,显示可进行的安全性操作建议,在工作流程中自动化安全性检查,而这将有助在软件漏洞进到生产环境前,开发者就能先发现存在的安全性问题。程序代码扫描使用CodeQL程序代码分析引擎,开发者可以利用GitHub和社群已经创建的2,000多个CodeQL查询,或是使用自定义的查询,发现程序代码中的漏洞。
由于程序代码扫描服务创建在开放SARIF标准上,因此该功能是可以扩展的,用户可以结合开源或是商业静态应用程序安全测试(SAST)解决方案,或是集成第三方扫描引擎,在单一接口中,查看所有安全工具的结果,或是利用API导出扫描结果。
GitHub在5月推出程序代码扫描服务测试版以来,已经扫描12,000个存储库,共进行了140万次扫描,发现了20,000多个安全问题,这些安全问题包括远程程序代码执行、SQL注入和跨站脚本漏洞等。官方表示,程序代码扫描服务让社群更积极解决漏洞,过去30天内,有72%程序代码扫描服务发现的错误,在拉取请求整合之前,就已经被开发者修复,而这比起以往,低于30%的漏洞在发现一个月内,就被修复的统计数字高上不少。
目前公开程序代码存储库可以免费使用程序代码扫描服务,而私有存储库则是要通过企业版GitHub的Advanced Security服务激活。