Llegamos a ustedes gracias a:



Noticias

GitHub añade análisis de CodeQL para detectar errores de seguridad

[01/10/2020] GitHub ha puesto a disposición del público su servicio de escaneo de código CodeQL. Basado en la tecnología de análisis de código semántico adquirida de Semmle, CodeQL puede ahora habilitarse en los repositorios públicos de los usuarios para descubrir vulnerabilidades de seguridad en sus bases de código.

CodeQL está pensado para ejecutar solo reglas de seguridad accionables de forma predeterminada, para ayudar a los desarrolladores a mantenerse centrados en la tarea que tienen entre manos y no verse abrumados con sugerencias menores. CodeQL se integra con la plataforma GitHub Actions CI/CD o con otro entorno CI/CD de un usuario. El código se escanea a medida que se crea, mientras que las revisiones de seguridad procesables se muestran en las solicitudes de extracción y otras experiencias de GitHub. Este proceso tiene como objetivo asegurar que las vulnerabilidades nunca lleguen a producción.

Los desarrolladores pueden aprovechar las más de dos mil consultas de CodeQL creadas por GitHub y la comunidad en general, o construir consultas personalizadas para abordar nuevos problemas de seguridad. El escaneo de código CodeQL se construyó sobre el estándar SARIF y es extensible, por lo que los desarrolladores pueden incluir soluciones de pruebas de seguridad de aplicaciones estáticas comerciales y de código abierto dentro de la misma experiencia de GitHub. Se pueden integrar motores de escaneo de terceros para ver los resultados de todas las herramientas de seguridad de un desarrollador a través de una única interfaz. Se pueden exportar múltiples resultados de escaneado a través de una única API.

El escaneo de CodeQL es gratuito para los repositorios públicos. Para los repositorios privados, CodeQL está disponible para el servicio de pago GitHub Enterprise a través de GitHub Advanced Security. Desde la primera versión beta del servicio en mayo, GitHub dijo que CodeQL ha escaneado 12 mil repositorios 1,4 millones de veces y ha encontrado más de 20 mil problemas de seguridad, incluyendo la ejecución remota de código, inyección SQL y vulnerabilidades de secuencias de comandos en sitios cruzados.