| Разработчики: | GitHub |
| Дата премьеры системы: | октябрь 2020 г |
| Отрасли: | Информационные технологии |
| Технологии: | Средства разработки приложений |
2020: Анонс GitHub Code Scanning - автоматического сканера уязвимостей для разработчиков ПО
В начале октября 2020 года GitHub запустила новую функцию под названием GitHub Code Scanning («сканирование кода GitHub»), которая автоматически находит уязвимости в проектах разработчиков программного обеспечения. Это дополнение не только сделает набор функций GitHub более конкурентоспособным, но и потенциально повысит безопасность экосистемы с открытым исходным кодом в целом.
Новый сканер уязвимостей основан на инструменте CodeQL, который GitHub получил в 2019 году в результате приобретения стартапа. CodeQL позволяет разработчикам создавать абстрактное описание проблемы безопасности, а затем сканировать свои программные проекты на предмет кода, который соответствует описанию. CodeQL выполняет сканирование без участия человека, что позволяет анализировать крупные базы кода намного быстрее, чем при ручном подходе.
Разработчики получили доступ к 2000 шаблонов сканирования CodeQL. Ошибки, обнаруженные в проекте, отображаются внутри интерфейса GitHub, поэтому разработчики смогут увидеть, насколько уязвим их код для хакеров, прежде чем опубликовать его. Кроме того, CodeQL можно интегрировать с инструментами автоматизации, которые предотвратят добавление уязвимого кода во внутренние репозитории программного обеспечения.
GitHub планирует со временем расширить исходный набор функций. Менеджер по продукции GitHub Джастин Хатчингс (Justin Hutchings) сообщил, что разработчики получат возможность расширять набор шаблонов сканирования CodeQL по умолчанию, создавая свои собственные запросы. Кроме того, подразделение Microsoft готовит интеграцию с дополнительными продуктами для сканирования уязвимостей других компаний, чтобы выявлять более широкий спектр проблем безопасности в коде пользователей.[1]
Примечания
Подрядчики-лидеры по количеству проектов
Солар (ранее Ростелеком-Солар) (46) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15) Форсайт (11) Axiom JDK (БеллСофт) ранее Bellsoft (10) Бипиум (Bpium) (10) Другие (393) Солар (ранее Ростелеком-Солар) (10) Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3) Форсайт (3) Cloud.ru (Облачные технологии) ранее SberCloud (2) КРИТ (KRIT) (2) Другие (13)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (ранее Ростелеком-Солар) (2, 48) Microsoft (41, 47) Oracle (49, 26) Hyperledger (Open Ledger Project) (1, 23) IBM (33, 18) Другие (608, 308) Солар (ранее Ростелеком-Солар) (1, 11) Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3) Форсайт (1, 3) Cloud.ru (Облачные технологии) ранее SberCloud (1, 2) Сбербанк (1, 2) Другие (9, 9) Солар (ранее Ростелеком-Солар) (1, 6) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Мобильные ТелеСистемы (МТС) (1, 4) РЖД-Технологии (1, 3) Другие (14, 24) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 4) Мобильные ТелеСистемы (МТС) (2, 3) Солар (ранее Ростелеком-Солар) (1, 3) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2) Сбербанк-Технологии (СберТех) (1, 1) Другие (14, 14)Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 48 Hyperledger Fabric - 23 Windows Azure - 20 FIS Platform - 15 Форсайт. Мобильная платформа (ранее HyperHive) - 12 Другие 328 Solar appScreener (ранее Solar inCode) - 11 Форсайт. Мобильная платформа (ранее HyperHive) - 3 BSS Digital2Go - 3 Cloud ML Space - 2 Bpium Конструктор корпоративных систем - 1 Другие 8 
