Le service de scan de code de GitHub est désormais généralement disponible. Basé sur la technologie d'analyse sémantique de code CodeQL acquise auprès de Semmle, le scan de code de GitHub peut maintenant être activé dans les référentiels publics des utilisateurs pour leur permettre de découvrir des failles de sécurité dans leurs bases de code. Le service prend également en charge l'analyse d'outils tiers.
Le scan de code de GitHub n'exécute que des règles de sécurité actionnables par défaut, l’objectif étant d’éviter aux développeurs d’être submergés par les suggestions de linting et de rester concentrés sur la tâche à accomplir. Le service peut s'intégrer soit à la plate-forme GitHub CI/CD Actions, soit à un autre environnement CI/CD de l'utilisateur. Le code est scanné au fur et à mesure qu’il est créé, les analyses de sécurité donnant lieu à des actions sont effectuées dans le cadre de demandes d'extraction et d'autres expériences GitHub. Ce processus garantit que les vulnérabilités ne se retrouvent jamais dans le code de production.
Gratuit pour les référentiels publics
Les développeurs peuvent tirer parti des 2 000 requêtes, et plus, créées par GitHub et la communauté, ou créer des requêtes personnalisées pour répondre à de nouvelles préoccupations en matière de sécurité. Le scan du code de GitHub construit sur la norme SARIF est extensible, de sorte que les développeurs peuvent inclure dans l’expérience native de GitHub des solutions de test de sécurité d’applications statiques open source et commerciales. Il est également possible d’intégrer des moteurs de scan tiers pour visualiser les résultats de tous les outils de sécurité d’un développeur via une interface unique. Une API unique permet aussi d’exporter plusieurs résultats de scan.
Le service de scan de code GitHub est gratuit pour les référentiels publics. Pour les référentiels privés, le service est inclus avec le service payant GitHub Enterprise via GitHub Advanced Security. Selon GitHub, depuis la sortie de la première version bêta, au mois de mai dernier, le service de scan de code de GitHub a scanné 12 000 référentiels 1,4 million de fois et a permis de découvrir plus de 20 000 problèmes de sécurité, dont des failles d'exécution de code à distance, failles d'injection SQL et des vulnérabilités de type cross-site scripting XSS.