Conecta con nosotros

Noticias

GitHub mejora la seguridad de los repositorios con el escaneo de código

Publicado el

escaneo de código de GitHub

GitHub, el servicio de alojamiento para control de versiones, desarrollo e intercambio de software más importante del mundo, ha anunciado la implementación de un sistema de escaneo de código para mejorar la seguridad de los repositorios.

Hace un año, GitHub dio la bienvenida a Semmle. Desde entonces, han estado trabajando para llevar las capacidades de análisis de código de su tecnología CodeQL a los usuarios de GitHub como una capacidad nativa. En mayo lanzaron la primera versión beta gracias a los miles de desarrolladores de la comunidad que lo probaron y ofrecieron sus comentarios y ahora el sistema está disponible de forma generalizada.

Como no podría ser de otra manera, está dirigido, pensado y diseñado para desarrolladores. A medida que se crea el código, el sistema lo escaneará y destacará las áreas que podrían explotarse en el futuro. La esperanza es que, al detectar errores con anticipación, se pueda reducir la cantidad de incidentes de seguridad a los que se enfrenta la industria mundial. 

El escaneo de código está impulsado por CodeQL, el motor de análisis de código más poderoso del mundo. Los desarrolladores pueden usar las más de 2.000 consultas de CodeQL creadas por GitHub y la comunidad, o crear consultas personalizadas para encontrar y prevenir fácilmente nuevos problemas de seguridad. Basado en el estándar abierto SARIF, el escaneo de código es extensible para que pueda incluir soluciones de prueba de seguridad de aplicaciones estáticas (SAST) de código abierto y comerciales dentro de la misma experiencia nativa de GitHub.

Escaneo de código de GitHub hasta ahora

Desde que presentaron la versión beta en mayo, el sistema se ha adoptado de manera generalizada dentro de la comunidad. Según citan:

  • Hemos escaneado más de 12.000 repositorios 1,4 millones de veces y hemos encontrado más de 20.000 problemas de seguridad, incluida la ejecución remota de código (RCE), la inyección de SQL y las vulnerabilidades de cross site scripting (XSS).
  • Los desarrolladores y mantenedores solucionaron el 72% de los errores de seguridad informados identificados en sus solicitudes de extracción antes de fusionarse en los últimos 30 días. Estamos orgullosos de ver este impacto, dado que los datos de la industria muestran que menos del 30% de todos los errores se corrigen un mes después de su descubrimiento.
  • Hemos tenido 132 contribuciones de la comunidad al conjunto de consultas de código abierto de CodeQL.
  • Nos hemos asociado con más de una docena de proveedores de seguridad comercial y de código abierto para permitir a los desarrolladores ejecutar CodeQL y soluciones líderes en la industria para SAST, escaneo de contenedores e infraestructura como validación de código en paralelo en la experiencia de escaneo de código nativo de GitHub.

Interesante. Dado que las bibliotecas públicas de GitHub pueden ser examinadas y adoptadas por muchos otros usuarios del servicio de alojamiento, ya se han evitado muchas crisis.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído