GitHub ввёл в строй сервис для выявления уязвимостей в коде

30.09.2020 22:52

GitHub объявил о доступности для всех пользователей сервиса Code scanning, который ранее предлагался только участникам ограниченной программы тестирования новых экспериментальных возможностей. Сервис обеспечивает сканирование каждой операции "git push" на предмет потенциальных уязвимостей. Результат прикрепляется непосредственно к pull-запросу. Проверка выполняется с использованием движка CodeQL, анализирующего шаблоны с типовыми примерами уязвимого кода (CodeQL позволяет сформировать шаблон уязвимого кода для выявления наличия подобной уязвимости в коде других проектов).

За время бета-тестирования сервиса в ходе сканирования около 12 тысяч репозиториев было выявлено более 20 тысяч проблем с безопасностью, среди которых были и серьёзные проблемы, приводящие к удалённому исполнению кода и подстановке SQL-запросов. 72% из найденных проблем были выявлены на стадии рассмотрения pull-запроса, до его принятия, и исправлены менее чем за 30 дней (для сравнения общая статистика по индустрии показывает, что лишь 30% уязвимостей устраняется менее чем за месяц после обнаружения).

исправить +17 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/53814-github

Ключевые слова: github, codeql

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (33)

1.1, Анонимно (ok), 22:55, 30/09/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+9 +/–
Код от Microsoft будет анализироваться?)

2.18, A.Stahl (ok), 07:12, 01/10/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+11 +/–
Да, и в случае нобходимости уязвимости будут добавляться чтобы соотвествовавать среднему значению в индустрии.

1.2, Sunderland93 (ok), 22:58, 30/09/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+3 +/–
А всё хоронили Github после покупки оного Майкрософтом. Да он сейчас живее чем когда либо!

2.4, vinegret (ok), 23:24, 30/09/2020 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+14 +/–
Хоронили аутентичность. M$ заинтересована в привлечении и привязки к себе вашего бизнеса. Сервис будет привлекателен для всяких эффективных менеджеров, маркетологов и прочих айтишников-хипстеров. Скайп до сих пор используют во многих компаниях для внутренних коммуникаций, потому что так "исторически сложилось".

3.15, Тот_Самый_Анонимус (?), 06:04, 01/10/2020 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–3 +/–
>Скайп до сих пор используют А что в этом плохого? Скайп не моден и немолодёжен?

4.25, клацакац (?), 10:05, 01/10/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Смотря какой. Скайп для бизнеса до сих пор через одно место хранит историю переписки, которую ты можешь посмотреть только в Outlook. И то, как он разобьёт твой диалог на части, одному аутлуку известно. Не дай бог ты вместо ё промахнёшься, и жахнешь по Esc, хана диалогу, ищи его в аутлуке. Короче, древняя херня. Сам мелкософт вроде как сейчас продвигает Teams. Так что да, скайп гуано редкостное

4.31, Корец (?), 12:57, 01/10/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–2 +/–
>А что в этом плохого? Действительно

4.34, user (??), 14:24, 01/10/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
То что не везде делают рабочий телефон.

3.40, White master (?), 16:08, 01/10/2020 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

–2 +/–

> Скайп до сих пор используют во многих компаниях для внутренних коммуникаций.

Это те которые два васяна продакшен?

Нормальные и не начинали использовать.

4.47, Всем Анонимам Аноним (?), 01:04, 02/10/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Ну ты то, конечно, самый нормальный, правильно?

2.14, Аноним (14), 05:29, 01/10/2020 [^] [^^] [^^^] [ответить] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+4 +/–

А вы не замечаете интересных изменений в GitHub??

На днях как раз - изменили условия использования и для не платных репозиториев ограничили время работы CI... А у платных нет ....

И такая тенденция потихоньку расширяется....

3.19, Siborgium (ok), 07:12, 01/10/2020 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
M$ должны бесплатно свои серверы тебе предоставлять? Они и так предоставляют практически безлимитный хостинг для репозиториев.

4.44, Аноним (44), 18:36, 01/10/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Пусть дадут код, мы на своих серверах поднимем. А ихних нам и даром не надо.

3.30, myhand (ok), 12:40, 01/10/2020 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+3 +/–

В смысле? У не-платных и раньше время работы было ограничено. 6 часов, насколько я помню.

> И такая тенденция потихоньку расширяется...

Ну да, аж на Travis-CI расширилась. Не мели чепухи.

2.39, White master (?), 16:04, 01/10/2020 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Да он сейчас живее чем когда либо! Глупости.

2.43, Аноним (43), 17:32, 01/10/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Ну я например туда теперь ни ногой

1.3, Аноним (3), 23:01, 30/09/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Круто, кстати, но, это лишь говорит о том, что разрабы в массе своей ленивые свиньи, которым совершенно наплевать на свой код и на пользователей. Если МС хочет растолкать это болото, я не против, пусть недовольные валят в svn.

2.7, vinegret (ok), 23:31, 30/09/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+10 +/–
При чём тут svn? Отправляйте сразу в спортлото.

1.6, Онаним (?), 23:25, 30/09/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
Всего 20к проблем на 12к репозитариев, из которых основная масса - говнокод, деланный ногами. Неплохое качество кода ныне пошло.

2.11, Anonymousqwe (?), 03:13, 01/10/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Таким качество кода было всегда, просто сейчас общество нашло методы быстрее и легче выявлять ошибки

3.22, Онаним (?), 07:45, 01/10/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Я больше к тому, что из этих 12000 реально имеющих ценность в лучшем случае сотня, и % ошибок в них много меньше, чем в остальном ненужно.

1.10, b0r1s (ok), 01:20, 01/10/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–8 +/–
Вот и цензуру на GitHub завезли. Уязвимый и вредоносный код нужен для тестирования программных продуктов, например у антивируса касперского энциклопедия вирусов была.

2.17, Siborgium (ok), 07:06, 01/10/2020 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

>цензуру завезли

А что, код теперь будет принудительно удаляться, если в нем уязвимости?

>Уязвимый [...] код нужен для тестирования программных продуктов

Предлагаю использовать для тестирования программных продуктов ПО, установленное на вашем компьютере.

3.38, microsoft (?), 15:36, 01/10/2020 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–2 +/–
Сейчас не будут удалять, но а там как майор решит, и сразу цензура. И ты скушаеш, будеш давится и колоться но скушаеш. Хомячки всегда такие...

2.32, developer (??), 13:02, 01/10/2020 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Там из коробки ничего не работает. Надо в репозитории workflow включить, и сборку проекта в нем настроить. Есть какой-то autobuild встроенный, но это чудо для hello world-ов без зависимостей

1.12, Денис (??), 03:31, 01/10/2020 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
Он уже не банит за вход из Крыма?

2.13, Усатый (?), 04:26, 01/10/2020 Скрыто ботом-модератором [к модератору]	–2 +/–

3.16, Тот_Самый_Анонимус (?), 06:09, 01/10/2020 Скрыто ботом-модератором [к модератору]	–2 +/–

3.20, unravel22 (?), 07:19, 01/10/2020 Скрыто ботом-модератором [к модератору]	+3 +/–

4.21, Аноним (21), 07:40, 01/10/2020 Скрыто ботом-модератором [к модератору]	+1 +/–

5.24, нямням (?), 08:50, 01/10/2020 Скрыто ботом-модератором [к модератору]	+1 +/–

1.50, Аноним (50), 01:02, 03/10/2020 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Отдел раскрутки и продвижение очепятался и вчера весь день самым популярным тегом было "deta" с нулями посетителей и контрибуторов. Это на миллионном хайтек ресурсе. Собственно все что нужно знать о трендах, модном и молодежном, это решают не технологии, а безграмотные маркетологи.

1.52, Andrey_Karpov (ok), 18:37, 03/10/2020 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Статья на Хабре не столь позитивна :) https://habr.com/ru/company/dcmiran/blog/521578/

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: