GitHub推出新功能:智能扫描代码潜在漏洞

描述

  3 月 21 日,GitHub 推出的全新“代码扫描”功能,面向所有享有Advanced Security(GHAS)许可的用户,旨在查找并识别代码中的安全漏洞及编码错误。

  此项新功能依靠Copilot及CodeQL(GitHub自主研发的代码分析引擎,专司自动化安全检测),能够找出潜藏于代码之中的漏洞或错误,并对其进行归类和排序,以便按照优先级进行修复。值得注意的是,“代码扫描”功能需要占用GitHub Actions的时间资源。

  “代码扫描”功能还能预防新手引入新的问题,并支持在设定的日期和时间进行扫描,或者让特定事件(如推送到仓库中)触发扫描。若AI判定代码内可能存在隐患,GitHub将在仓库中发出预警,待用户修正引发求救信号的部分后,再撤销警告。

  为了查看自己仓库或是组织的“代码扫描”结果,用户可以通过web挂钩和code scannning API进行监控。此外,“代码扫描”亦可与支持输出静态分析结果交换格式 (SARIF)数据的第三方代码扫描工具实现互通。

  当前,通过CodeQL进行“代码扫描”的三种主要方式如下:

  使用默认设置,迅速在仓库上配置相关的CodeQL分析。这一步骤会自动挑选所需分析的语言、查询套件,以及触发扫描的条件。若需更改,也可手动调整。启动CodeQL后,GitHubActions将执行一系列任务以检测代码。

  利用高级设置,向仓库中添加CodeQL工作流。该流程将生成自定义的工作流文件,并运用github/codeql-action运行CodeQL CLI。

  直接在外部CI系统中运行CodeQL CLI,然后将得到的结果上传至GitHub。

  GitHub表示,这一AI系统具备修复其所发现漏洞的能力,三分之二以上的漏洞无需人工干预即可自行修复。他们还承诺,代码扫描自动修复将覆盖其所支持语言中超过90%的问题类型,涵盖JavaScript、Typescript、Java和Python等。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分