GitHub artık geliştiricilerin kodlarını “varsayılan kurulum” deposu için taramasına izin vererek güvenlik sorunlarını tırmanmadan önce tespit etmelerine yardımcı olacağını umuyoruz.
Github, bu yeni özellik ile geliştiricilerin (yeni sekmede açılır) depoyu otomatik olarak ve mümkün olan en az çabayla yapılandırabilecektir.
GitHub’ın kod taraması, CodeQL motoru tarafından desteklenmektedir ve çok çeşitli derleyicileri desteklemesine rağmen, bu özellik şu ana kadar yalnızca Python, JavaScript ve Ruby için mevcuttur. GitHub’dan Walker Chabbott, şirketin artık yaza kadar desteği ek dillere genişletmeyi amaçladığından, bunun yakında değişmesi gerektiğini söyledi.
Böcek avını basitleştirme
Yeni özelliği denemek isteyenler depolarının ayarlarını açmalı, “Kod güvenliği ve analizi”ne gitmeli ve “Kurulum” açılır menüsünü tıklamalıdır. Orada “Varsayılan” seçeneğini bulacaklar.
Chabbott blog gönderisinde “‘Varsayılan’ı tıkladığınızda, deponun içeriğine dayalı olarak otomatik olarak uyarlanmış bir yapılandırma özeti göreceksiniz” dedi. “Bu, depoda algılanan dilleri, kullanılacak sorgu paketlerini ve taramaları tetikleyecek olayları içerir. Gelecekte, bu seçenekler özelleştirilebilir.”
“CodeQL’yi Etkinleştir” özelliği açıldığında, özellik otomatik olarak havuzdaki kusurları aramaya başlayacaktır.
CodeQL kod analiz motoru, BleepingBilgisayar hatırlatıyor, GitHub platformuna satın alınmasının ardından Eylül 2019’da eklendi.
Beta testinde geçen bir yılın ardından, Eylül 2020’de genel kullanılabilirlik duyurulmuştu. Beta aşamasında, araç 12.000’den fazla depoyu 1,4 milyon kez taradı ve 20.000’den fazla güvenlik açığı buldu. Bunlardan bazıları, uzaktan kod yürütme (RCE), SQL enjeksiyonu ve siteler arası komut dosyası oluşturma (XSS) dahil olmak üzere yüksek önem taşıyordu.
Kodu taramanın herkes için ücretsiz olduğunu ekleyen yayın, Enterprise kullanıcılarının da GitHub Enterprise için GitHub Gelişmiş Güvenlik aracılığıyla bundan yararlanabileceğini vurguladı.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)
