会员服务

还在写Bug?GitHub官方代码扫描工具上线,免费查找漏洞

2020 年 10 月 2 日 机器之心

机器之心报道

作者:蛋酱

在 GitHub 发布项目之前,你可以用免费的官方代码扫描程序来检查 Bug 了。



编程很难,难就难在常有 Bug 而不自知。有程序员调侃:「我不是在写代码,我是在写 Bug。」

从现在开始,你在 GitHub 上传的代码可以免费使用 Bug 筛查程序了。早发现,早报告,早诊断…… 以及早修复。

去年 9 月,GitHub 收购代码分析平台企业 Semmle,宣布将在 GitHub 的开发者工作流程中引入代码安全性流程。

代码扫描是 GitHub Advanced Security 计划中的一部分。今年 5 月的 Github Satellite 2020 大会,GitHub 率先推出了代码扫描功能的 beta 版,免费提供开源代码扫描功能。启用后,将对每个「git push」进行扫描以查找新的潜在安全漏洞,并将结果直接显示在请求中。

据 GitHub 介绍,在内测阶段,有 12000 个存储库接受了代码扫描,扫描次数达到 140 万次,总共发现了 20000 多个安全问题,包括远程代码执行(RCE)、SQL 注入和跨站脚本(XSS)的漏洞。开发者和维护人员在一个月内修复了 72% 的已报告安全问题,比例远高于业内统计的 32% 的 30 天内修复率。

经过几个月来众多开发者的的测试与反馈,九月的最后一天,GitHub 宣布「代码扫描」正式上线了。


目前,代码扫描面向公共存储库是免费的。此外,面向使用 GitHub Enterprise 团队,代码扫描功能是 GitHub Advanced Security 的一部分,能够帮助团队更早地查找出项目中的安全漏洞。


代码扫描功能首先是基于开发者的需求设计的,默认情况下,代码扫描不会提供过多的建议以免造成干扰,只会在保证安全的原则下运行,让开发者能够专注于手头的任务。

代码扫描与 GitHub Actions 或用户现有的 CI / CD 环境集成在一起,为团队工作提供最大的灵活度。它会在代码被创建时进行扫描,并拉取请求以及用户日常使用的其他 GitHub 服务中可操作的安全性审查,使得自动化安全检查成为工作流的一部分——这样做的目的是让漏洞无法进入生产环境。


该功能由目前功能最强大的代码分析引擎 CodeQL 提供支持。用户可以使用 GitHub 及社区创建的 2000 多个 CodeQL 查询,也可以创建自定义查询来查找和避免新的安全问题。

运行代码扫描程序可能需要几分钟:首先,在 GitHub 上找到存储库的主页,点击存储库名称的「Security」按钮。


然后点击「代码扫描」右侧的「Set up code scanning」:


在「Get started with code scanning」下,在 CodeQL 分析工作流或第三方工作流上单击「Set up this workflow」。


之后可以自定义代码扫描,通常可提交 CodeQL 分析工作流,无需对其进行任何更改。但许多第三方工作流程需要其他配置,因此在提交之前还需要读一下工作流程中的注释。使用「Start commit」下拉菜单,然后输入提交信息,并选择直接提交到默认分支,还是创建一个新分支。


检查流程运行完毕后,用户可以查看已识别的所有代码扫描警报的详细信息。比如触发警报的代码行以及警报的属性,还有何时首次出现该问题的地方,对于通过 CodeQL 分析确定的警报,还能看到有关如何解决问题的指引。


操作指南全文:https://docs.github.com/en/free-pro-team@latest/github/finding-security-vulnerabilities-and-errors-in-your-code/enabling-code-scanning-for-a-repository

基于 SARIF 标准,代码扫描功能是可扩展的,用户可以将其他静态应用安全检查方案加入 GitHub 原生体验中,比如集成第三方扫描引擎以实现在单个界面查看所有安全检查的结果,或者通过单个 API 导出多个扫描结果。后续 GitHub 也会发布一些有关扩展功能和合作伙伴生态的信息。

同时,开发者们也会发现,GitHub 正悄悄完善「同性交友平台」的功能。就在今天,GitHub 还上线了「限制拉取仓库」、「关闭互动区」等功能。


比如你可以设置某个项目的互动时限,24 小时、3 天、一个月、半年内。这一幕好像有点熟悉……

不知这样的「朋友圈」,是不是符合程序员们的口味?

参考链接:
https://github.blog/2020-09-30-code-scanning-is-now-available/


如何根据任务需求搭配恰当类型的数据库?

在AWS推出的白皮书《进入专用数据库时代》中,介绍了8种数据库类型:关系、键值、文档、内存中、关系图、时间序列、分类账、领域宽列,并逐一分析了每种类型的优势、挑战与主要使用案例。

点击阅读原文识别二维码,申请免费获取白皮书。



© THE END 

转载请联系本公众号获得授权

投稿或寻求报道:content@jiqizhixin.com

登录查看更多
0

相关内容

GitHub.com 使用 Git 作为版本控制系统(version control system)提供在线源码托管的服务,同时是个有社交功能的开发者社区。 国外类似服务: Bitbucket.com
Gitlab.com
国内类似服务:
Coding.net
【2020新书】操作反模式: DevOps解决方案, 322页pdf
【2020新书】操作反模式: DevOps解决方案, 322页pdf
专知会员服务
30+阅读 · 2020年11月8日
【2020新书】如何编写出牛叉的代码来?Write Great Code第二版,472页pdf
【2020新书】如何编写出牛叉的代码来?Write Great Code第二版,472页pdf
专知会员服务
67+阅读 · 2020年8月17日
【干货书】Python 编程,480页pdf
【干货书】Python 编程,480页pdf
专知会员服务
229+阅读 · 2020年8月14日
【2020新书】基本Linux终端指示技巧,376页pdf, 学习如何在命令行上快速工作
【2020新书】基本Linux终端指示技巧,376页pdf, 学习如何在命令行上快速工作
专知会员服务
52+阅读 · 2020年8月8日
【2020新书】高级Python编程,620页pdf
【2020新书】高级Python编程,620页pdf
专知会员服务
232+阅读 · 2020年7月31日
【干货书】R语言书: 编程和统计的第一课程,
【干货书】R语言书: 编程和统计的第一课程,
专知会员服务
107+阅读 · 2020年5月9日
【书籍推荐】简洁的Python编程(Clean Python),附274页pdf
【书籍推荐】简洁的Python编程(Clean Python),附274页pdf
专知会员服务
173+阅读 · 2020年1月1日
谷歌机器学习速成课程中文版pdf
谷歌机器学习速成课程中文版pdf
专知会员服务
143+阅读 · 2019年12月4日
【电子书】Flutter实战305页PDF免费下载
【电子书】Flutter实战305页PDF免费下载
专知会员服务
20+阅读 · 2019年11月7日
计算机视觉最佳实践、代码示例和相关文档
计算机视觉最佳实践、代码示例和相关文档
专知会员服务
17+阅读 · 2019年10月9日
从Python代码到APP,你只需要一个小工具:GitHub已超3000星
从Python代码到APP,你只需要一个小工具:GitHub已超3000星
机器之心
3+阅读 · 2019年10月31日
微信小程序官方发布支持Python的自动化测试框架
微信小程序官方发布支持Python的自动化测试框架
Python程序员
8+阅读 · 2019年9月4日
AWVS12 V12.0.190530102 windows正式版完美破解版
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
防代码泄漏的监控系统架构与实践
防代码泄漏的监控系统架构与实践
FreeBuf
5+阅读 · 2019年4月30日
免费!Google Colab现已支持英伟达T4 GPU
免费!Google Colab现已支持英伟达T4 GPU
新智元
5+阅读 · 2019年4月25日
PyTorch 1.0 正式版发布了!
PyTorch 1.0 正式版发布了!
机器学习算法与Python学习
4+阅读 · 2018年12月8日
开发 | GitHub项目推荐 : 用于对机器学习模型进行对抗性攻击、防御和基准测试的Python库
开发 | GitHub项目推荐 : 用于对机器学习模型进行对抗性攻击、防御和基准测试的Python库
AI科技评论
5+阅读 · 2018年11月25日
Tplmap - 扫描服务器端模板注入漏洞的开源工具
Tplmap - 扫描服务器端模板注入漏洞的开源工具
黑白之道
6+阅读 · 2018年9月11日
号称“开发者神器”的GitHub,到底该怎么用?
号称“开发者神器”的GitHub,到底该怎么用?
算法与数据结构
4+阅读 · 2018年3月29日
这位程序员为什么要弃用Facebook?
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
Supervised attention for speaker recognition
Arxiv
1+阅读 · 2020年12月3日
Software Module Clustering: An In-Depth Literature Analysis
Arxiv
0+阅读 · 2020年12月2日
Software Security Patch Management -- A Systematic Literature Review of Challenges, Approaches, Tools and Practices
Software Security Patch Management -- A Systematic Literature Review of Challenges, Approaches, Tools and Practices
Arxiv
0+阅读 · 2020年12月1日
Toward a Benchmark Repository for Software Maintenance Tool Evaluations with Humans
Arxiv
0+阅读 · 2020年11月30日
GitHub-OSS Fixit: Fixing bugs at scale in a Software Engineering Course
Arxiv
0+阅读 · 2020年11月29日
Asymptotic properties of a class of linearly implicit schemes for weakly compressible Euler equations
Arxiv
0+阅读 · 2020年11月27日
Copy-and-Patch Binary Code Generation
Arxiv
0+阅读 · 2020年11月26日
Imbalance Problems in Object Detection: A Review
Arxiv
24+阅读 · 2020年3月11日
CoQA: A Conversational Question Answering Challenge
CoQA: A Conversational Question Answering Challenge
Arxiv
7+阅读 · 2018年8月21日
Evorus: A Crowd-powered Conversational Assistant Built to Automate Itself Over Time
Arxiv
6+阅读 · 2018年1月10日
VIP会员
相关主题
GitHub
Bug
UG
代码安全
极大似然估计
相关VIP内容
【2020新书】操作反模式: DevOps解决方案, 322页pdf
【2020新书】操作反模式: DevOps解决方案, 322页pdf
专知会员服务
30+阅读 · 2020年11月8日
【2020新书】如何编写出牛叉的代码来?Write Great Code第二版,472页pdf
【2020新书】如何编写出牛叉的代码来?Write Great Code第二版,472页pdf
专知会员服务
67+阅读 · 2020年8月17日
【干货书】Python 编程,480页pdf
【干货书】Python 编程,480页pdf
专知会员服务
229+阅读 · 2020年8月14日
【2020新书】基本Linux终端指示技巧,376页pdf, 学习如何在命令行上快速工作
【2020新书】基本Linux终端指示技巧,376页pdf, 学习如何在命令行上快速工作
专知会员服务
52+阅读 · 2020年8月8日
【2020新书】高级Python编程,620页pdf
【2020新书】高级Python编程,620页pdf
专知会员服务
232+阅读 · 2020年7月31日
【干货书】R语言书: 编程和统计的第一课程,
【干货书】R语言书: 编程和统计的第一课程,
专知会员服务
107+阅读 · 2020年5月9日
【书籍推荐】简洁的Python编程(Clean Python),附274页pdf
【书籍推荐】简洁的Python编程(Clean Python),附274页pdf
专知会员服务
173+阅读 · 2020年1月1日
谷歌机器学习速成课程中文版pdf
谷歌机器学习速成课程中文版pdf
专知会员服务
143+阅读 · 2019年12月4日
【电子书】Flutter实战305页PDF免费下载
【电子书】Flutter实战305页PDF免费下载
专知会员服务
20+阅读 · 2019年11月7日
计算机视觉最佳实践、代码示例和相关文档
计算机视觉最佳实践、代码示例和相关文档
专知会员服务
17+阅读 · 2019年10月9日
热门VIP内容
相关资讯
从Python代码到APP,你只需要一个小工具:GitHub已超3000星
从Python代码到APP,你只需要一个小工具:GitHub已超3000星
机器之心
3+阅读 · 2019年10月31日
微信小程序官方发布支持Python的自动化测试框架
微信小程序官方发布支持Python的自动化测试框架
Python程序员
8+阅读 · 2019年9月4日
AWVS12 V12.0.190530102 windows正式版完美破解版
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
防代码泄漏的监控系统架构与实践
防代码泄漏的监控系统架构与实践
FreeBuf
5+阅读 · 2019年4月30日
免费!Google Colab现已支持英伟达T4 GPU
免费!Google Colab现已支持英伟达T4 GPU
新智元
5+阅读 · 2019年4月25日
PyTorch 1.0 正式版发布了!
PyTorch 1.0 正式版发布了!
机器学习算法与Python学习
4+阅读 · 2018年12月8日
开发 | GitHub项目推荐 : 用于对机器学习模型进行对抗性攻击、防御和基准测试的Python库
开发 | GitHub项目推荐 : 用于对机器学习模型进行对抗性攻击、防御和基准测试的Python库
AI科技评论
5+阅读 · 2018年11月25日
Tplmap - 扫描服务器端模板注入漏洞的开源工具
Tplmap - 扫描服务器端模板注入漏洞的开源工具
黑白之道
6+阅读 · 2018年9月11日
号称“开发者神器”的GitHub,到底该怎么用?
号称“开发者神器”的GitHub,到底该怎么用?
算法与数据结构
4+阅读 · 2018年3月29日
这位程序员为什么要弃用Facebook?
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
相关论文
Supervised attention for speaker recognition
Arxiv
1+阅读 · 2020年12月3日
Software Module Clustering: An In-Depth Literature Analysis
Arxiv
0+阅读 · 2020年12月2日
Software Security Patch Management -- A Systematic Literature Review of Challenges, Approaches, Tools and Practices
Software Security Patch Management -- A Systematic Literature Review of Challenges, Approaches, Tools and Practices
Arxiv
0+阅读 · 2020年12月1日
Toward a Benchmark Repository for Software Maintenance Tool Evaluations with Humans
Arxiv
0+阅读 · 2020年11月30日
GitHub-OSS Fixit: Fixing bugs at scale in a Software Engineering Course
Arxiv
0+阅读 · 2020年11月29日
Asymptotic properties of a class of linearly implicit schemes for weakly compressible Euler equations
Arxiv
0+阅读 · 2020年11月27日
Copy-and-Patch Binary Code Generation
Arxiv
0+阅读 · 2020年11月26日
Imbalance Problems in Object Detection: A Review
Arxiv
24+阅读 · 2020年3月11日
CoQA: A Conversational Question Answering Challenge
CoQA: A Conversational Question Answering Challenge
Arxiv
7+阅读 · 2018年8月21日
Evorus: A Crowd-powered Conversational Assistant Built to Automate Itself Over Time
Arxiv
6+阅读 · 2018年1月10日
大家都在搜
  1. TDGN
  2. 李清照词作
  3. 大型语言模型
  4. 扩散模型
  5. 伯克利博士论文
  6. 智能仓储
  7. 成飞
  8. AGV
  9. 图与推荐指南针
  10. 基于实体、属性和关系的知识表示学习
    11.
Top
微信扫码咨询专知VIP会员
Top