Главная>Новости>Новости отрасли>GitHub запустил сервис бесплатного поиска ошибок в ПО

02.10.2020

Посетителей: 32

Просмотров: 24

Время просмотра: 2.3

Крупнейший в мире хостинг ИТ-проектов Github запустил бесплатный сервис по выявлению уязвимостей в исходном коде программ. С 30 сентября 2020 г. он доступен всем желающим. Об этом сообщил старший менеджер по продукту Github Джастин Хатчингс (Justin Hutchings) в официальном блоге компании.

 

Инструмент, получивший название «Code scanning» («Сканирование кода»), функционирует на базе движка для семантического анализа кода CodeQL. Движок был разработан американской компанией Semmle, которую в 2019 г. купила Github. По словам главы (CEO) Github Нэта Фридмана (Nat Friedman), CodeQL – самый мощный инструмент в своем роде. Его применяют в работе специалисты по безопасности из Google, Microsoft, NASA и Uber.

 

Сервис автоматически сканирует каждый запрос на включение кода в репозиторий (pull-запроса) на основании преднастроенных шаблонов. Эти шаблоны содержат описания типовых ошибок, совершаемых программистами. В системе их на данный момент более 2 тыс., и пользователи сервиса могут добавлять свои собственные шаблоны.

Инструмент доступен бесплатно для использования с общедоступными репозиториями. Анализ кода в частных (закрытых) репозиториях доступен в рамках расширенного набора услуг безопасности, который предлагает платформа пользователям платного тарифа Github Enterprise.

 

Напомним, что об изменениях в сетке тарифных планов Github объявил в январе 2019 г. Пользователи бесплатного плана Github Free получили возможность создавать любое количество частных репозиториев, однако доступ к каждому из них могли иметь максимум три разработчика. Enterprise Cloud и Enterprise Server были объединены в единый тариф под названием Github Enterprise. Он предназначен для организаций, а его стоимость варьируется в зависимости от числа пользователей.

 

Первые итоги использования инструмента

 

Функция выявления уязвимостей была запущена Github в мае 2019 г. в режиме бета-теста. По данным хостинга, в ходе ее «обкатки» было проведено сканирование более чем 12 тыс. репозиториев около 1,4 млн раз и выявлено свыше 20 тыс. проблем с безопасностью. Среди них –несущие угрозу удаленного исполнения кода, внедрения SQL-кода, а также уязвимости типа XSS (межсайтовый скриптинг).

 

Причем 72% из обнаруженных ошибок были выявлены на этапе рассмотрения pull-запросов и исправлены разработчиками в течение 30 дней. В Github очень довольны таким результатом, особенно учитывая, что в целом по отрасли данный показатель не превышает и 30%.

Уведомления об обновлении новостей – в вашей почте

Титан под контролем: Как видеонаблюдение за выплавкой повышает качество металла

Российская металлургическая компания ПАО «Корпорация ВСМПО-АВИСМА» — лидер по производству титана. Корпорация глубоко интегрирована в мировую аэрокосмическую индустрию и является стратегическим поставщиком для компаний из 50 стран. Слиток титана плавится до 10 часов, и все это время специалист должен неотрывно наблюдать за печью. Чтобы автоматизировать и оптимизировать процессы, было принято решение разработать систему технического зрения.

Шерлоки Холмсы цифрового века

Установление причин инцидента и расследование киберпреступлений. Процедуры реагирования на инциденты: шаги по обнаружению, анализу, регистрации, противодействию и устранению последствий.

Киберучения: от сценарного подхода до платформы киберразвития

Киберучения позволяют комплексно подойти к развитию карьеры, точечно проработать hard&soft skills. Специалист «не на своем месте» вредит бизнесу. На киберучениях такие сотрудники видны лучше всего.

Другие новости из этой рубрики

19
04

ИИ от резидента «Сколково» помог снизить риск развития сердечно-сосудистых заболеваний

Медицинский лечебно-диагностический центр «Миг» и Компания «К-скай», разработчик платформы Webiomed, запустили совместный проект внедрения технологий искусственного интеллекта для анализа обезличенных медицинских данных и прогнозирования развития заболеваний пациентов. Он повышает эффективность профилактической медицинской помощи.

21
04

«Ростелеком-Солар»: за год компании укрепили внешний периметр, но забыли про внутренние сети

За год на фоне многочисленных кибератак российские компании укрепили защиту ИТ-периметров, но они по-прежнему недооценивают угрозу внутреннего нарушителя.

20
04

В России создадут цифровую карту аварийности

В новой карте будут выделены самые опасные зоны вождения автомобилей и самокатов, где чаще всего происходят дорожно-транспортные происшествия. Разработкой решения занимает провайдер Simble. В последствии решение позволит строить маршрут движения с объездом наиболее авариных мест.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня