GitHub本周宣布了其新的代码扫描功能的可用性,这为开发人员提供了一种简便的方法来检查其代码中的安全漏洞。代码扫描与GitHub Actions或您现有的CI / CD环境集成在一起,以最大程度地为您的团队提供灵活性。新功能会在创建代码时对其进行扫描,并在“拉取请求中显示可操作的安全性审查”,从而帮助阻止漏洞进入生产。
“ GitHub代码扫描是开发人员优先的,GitHub本地的方法,可在安全漏洞投入生产之前轻松找到它们。我们很高兴宣布代码扫描已全面上市。您可以立即在您的公共存储库中启用它!”
“ GitHub代码扫描首先是为开发人员设计的。默认情况下,代码扫描不会运行过多的建议,而只会使可行的安全规则运行,因此您可以专注于手头的任务。从第一天开始就通过端到端的安全性编写更安全的代码。GitHub可帮助您更早地解决漏洞并发布安全的应用程序。”
代码扫描对于公共存储库是免费的,并且是GitHub Enterprise的GitHub Advanced Security功能。自5月推出测试版以来:
我们已经扫描了12,000个存储库140万次,发现了20,000多个安全问题,其中包括远程代码执行(RCE),SQL注入和跨站点脚本(XSS)漏洞。
开发人员和维护人员在最近30天内进行合并之前,已修复了在拉取请求中发现的报告的安全错误的72%。我们很高兴看到这种影响,因为行业数据显示,发现缺陷的一个月后,不到30%的缺陷已得到修复。
我们已经为CodeQL的开源查询集贡献了132个社区。
我们已经与十几家开源和商业安全供应商合作,允许开发人员运行CodeQL和业界领先的SAST,容器扫描和基础架构解决方案,以与GitHub的本机代码扫描经验并行进行代码验证。
标签: GitHub代码扫描