博名知识网

您现在的位置是: 首页 > 答疑解惑

182午夜福利tv,还在编写错误吗?GitHub官方代码扫描工具可在线免费查找漏洞

2020-10-20 18:55:25博名知识网
在GitHub上发布项目之前,您可以使用免费的官方代码扫描程序来检查错误。几乎人类的报道,作者:鸡蛋酱编程是很困难的,但是困难是经常有一些不知道的错误。一些程序员嘲笑:“我不是在写代码,我是在编写错误。”从现在开始,您在GitHub上载的代码可以免费使用错误筛选程序。早期发现,早期报告,

  在GitHub上发布项目之前,您可以使用免费的官方代码扫描程序来检查错误。

  几乎人类的报道,作者:鸡蛋酱

  

  编程是很困难的,但是困难是经常有一些不知道的错误。一些程序员嘲笑:“我不是在写代码,我是在编写错误。”

  从现在开始,您在GitHub上载的代码可以免费使用错误筛选程序。早期发现,早期报告,早期诊断。 并及早修复。

  去年9月,GitHub收购了代码分析平台公司Semmle,并宣布将代码安全流程引入GitHub的开发人员工作流程中。

  代码扫描是GitHub Advanced Security程序的一部分。在今年5月举行的Github Satellite 2020会议上,GitHub率先推出了代码扫描功能的beta版,免费提供了开源代码扫描功能。启用后,将扫描每个“ git push”以查找新的潜在安全漏洞,并将结果直接显示在请求中。

  据GitHub介绍,内部测算阶段,有12000个存储库接受了代码扫描,扫描次数达到140万次,总计发现了20000个多个安全问题,包括远程代码执行(RCE),SQL注入和跨站脚本(XSS)漏洞。开发人员和维护人员在一个月内修复了72%的已报告安全问题,远高于30天内该行业的32%修复率。

  经过几个月的测试和许多开发人员的反馈,GitHub在9月的最后一天宣布“代码扫描”正式启动。

  

  当前,公共存储库免费进行代码扫描。此外,对于使用GitHub Enterprise的团队来说,代码扫描功能是GitHub Advanced Security的一部分,它可以帮助团队更早地发现项目中的安全漏洞。

  

  首先根据开发人员的需求设计代码扫描功能。 默认情况下,代码扫描不会提供过多的建议来避免干扰,而只会在确保安全的原则下运行,从而使开发人员可以专注于手头的任务。

  代码扫描与GitHub Actions或用户现有的CI / CD环境集成在一起,为团队工作提供最大的灵活性。它会在代码中被创建时进行扫描,并拉取请求以及用户日常使用的其他GitHub服务中可操作的安全性审查,从而自动化安全检查成为工作流的一部分-这样做的目的是让扩展无法进入生产环境。

  

  最强大的代码分析引擎CodeQL支持此功能。用户可以使用GitHub和社区创建的2000多个CodeQL查询,或者创建自定义查询以查找并避免新的安全问题。

  运行代码扫描器可能需要几分钟的时间:首先,在GitHub上找到存储库的主页,然后单击存储库名称的“安全性”按钮。

  

  然后单击“代码扫描”右侧的“设置代码扫描”:

  

  在“代码扫描入门”下,单击CodeQL分析工作流或第三方工作流上的“设置此工作流”。

  

  您可以在以后自定义代码扫描,并且通常可以提交CodeQL分析工作流而不对其进行任何更改。但是许多第三方工作流程需要其他配置,因此您需要在提交之前阅读工作流程中的注释。使用“开始提交”下拉菜单,然后输入提交信息,然后选择是直接提交到默认分支还是创建新分支。

  

  检查过程完成后,用户可以查看已识别的所有代码扫描警报的详细信息。例如,触发警报的代码行和警报属性,以及首次出现问题的时间,以及通过CodeQL分析确定的警报,您还可以查看有关如何解决问题的指南。

  

  操作指南的全文:https:// docs。github。com / en / free-pro-team @ latest / github / finding-security-vulnerabilities-and-errors-in-your-code / enable-code-scanning-for-repository

  根据SARIF标准,代码扫描功能是可扩展的,用户可以将其他静态应用安全检查方案加入GitHub原生体验中,通过集成的第三方扫描引擎以实现在各个界面上查看所有安全检查的结果,或者通过替换API多次扫描结果。后续GitHub还将发布一些有关扩展功能和合作伙伴生态系统的信息。

  同时,开发人员还将发现GitHub正在悄然改善“同性约会平台”功能。就在今天,GitHub还启动了“ Restrict Pull Repository”和“ Close Interactive Area”之类的功能。

  

  例如,您可以在24小时,3天,一个月和半年内为某个项目设置交互时间限制。这个场景似乎有点熟悉。

  我想知道这样的“朋友圈”是否符合程序员的口味?

  参考链接:https:// github。博客/ 2020-09-30-

-