GitHub启动代码扫描以尽早发现漏洞

GitHub今天正式启动了一个新的代码扫描工具，该工具旨在帮助开发人员在将其代码公开发布之前识别其代码中的漏洞。

这项新功能是去年GitHub收购了旧金山的代码分析平台Semmle时收购的结果;在微软拥有的代码托管平台透露，目前时间它将使Semmle的CodeQL本身在所有开源和企业资源库提供的分析引擎。经过数月的beta测试之后，代码扫描现已向所有开发人员推出。

违反

据估计，约60%的安全漏洞涉及未修补的漏洞。而且，据信所有软件项目中的99%至少包含一个开源组件，这意味着狡猾的代码可能对许多公司产生重大的连锁影响。

通常，修复漏洞需要研究人员首先找到漏洞并将其披露给存储库维护人员，然后由维护人员修复该问题并向社区发出警报，然后由社区将自己的项目更新为固定版本。在一个完美的世界中，此过程将花费几分钟的时间来完成，但实际上要花费更长的时间-首先需要有人通过手动检查代码或通过渗透测试来发现漏洞，这可能需要几个月的时间。然后是寻找并通知维护者并等待他们推出修复程序的过程。

GitHub的新代码扫描功能是一种静态应用程序安全测试(SAST)工具，其工作原理是将代码转换为可查询的格式，然后查找漏洞模式。它可以实时自动识别代码更改中的漏洞和错误，并在代码接近生产之前将其标记给开发人员。

修正

数据显示，发现漏洞后一周内，仅修复了15%的漏洞，该数字在一个月内上升至近30%，三个月后上升至45%。根据GitHub的说法，在测试阶段，它扫描了超过12,000次的12,000个存储库，发现了20,000个安全问题。至关重要的是，该公司表示，开发人员和维护人员在30天内修复了这些代码错误的72%。

现在已经有其他第三方工具可以帮助开发人员发现其代码中的错误。总部位于伦敦的Snyk最近以26亿美元的估值筹集了2亿美元，其目标是通过具有AI平台的开发人员来帮助开发人员识别并修复其开源代码中的缺陷。

这有助于凸显自动化在扩大安全运营以及缩小网络安全技能差距方面如何发挥越来越大的作用-GitHub的新代码扫描智能工具在某种程度上有助于释放安全研究人员以专注于其他关键任务工作。许多漏洞在其根源处都具有共同的属性，现在GitHub承诺会自动查找这些错误的所有变体，从而使安全研究人员能够寻找全新的漏洞类别。此外，它是作为直接移植到GitHub的本地工具集来实现的。

GitHub的代码扫描功能现已面世，并且可以免费用于所有公共存储库。私有存储库可以通过GitHub Enterprise订阅来访问该功能。