github使代码漏洞扫描功能公开

获取软件安全扫描专业综述后一年，并在成功的五个月的测试过程中，Github正在公开提供其CodeQL代码扫描功能，帮助团队和签证通过社区驱动，开发者创建安全应用程序方法。

在Beta进程期间，扫描了12,000次存储库，扫描了140万次，其中未发现超过20,000个安全问题，包括多个远程执行代码执行情况（RCE），SQL注入和跨站点脚本（XSS）漏洞。

Github表示，在过去的30天内，使用该功能的开发人员和维护者使用该功能的普遍披露的错误 - 考虑到，考虑到，一般来说，一般来说，不到三分之一的错误在一个月内修复了不到三分之一的错误。

GitHub产品管理器Justin Hutchings表示，当与GitHub操作或用户现有的CI / CD环境集成时，该服务将最大限度地提高开发团队的灵活性。

“而不是用暗示建议压倒性的建议，代码扫描默认运行可操作的安全规则，以便您可以在手头的任务中保持专注，”赫对齐说。

“它扫描代码，因为它创建和曲面Actions Security Quest审查，在拉请求和其他Github体验中，您每天使用，作为工作流程的一部分自动化安全性。这有助于确保漏洞首先使其成为生产。“

该平台还为CodeQL的开放源查询集注册了132个社区贡献，并在开源和商业空间中与多个安全供应商合作，以允许开发人员运行静态应用安全测试（SAST），集装箱扫描的CodeQL和行业解决方案，和基础设施作为代码验证在Github的本机代码扫描体验中并排验证。

用户还将能够集成第三方扫描引擎，以在单个接口中查看所有安全工具的结果，并通过单个API导出多个扫描结果。Hutchings表示GitHub很快计划在其可扩展功能上分享更多。

该服务将免费提供公共Github存储库，以及更多有关如何在线找到启用此的详细信息。该功能将通过Github Enterprise的Pain-for高级安全选项提供给私人存储库。

有关帮助安全开源生态系统的用户邀请呼叫并贡献GitHub上的CodeQL社区。