自动扫描服务倾斜在CodeQL上,以识别幕后的漏洞
Github宣布了一系列新功能的虚拟功能Github卫星周三(5月7日)的活动,包括一个基于云的代码编辑器,称为代码空间和一组自动代码扫描安全工具。
代码空间在浏览器中运行,并以与Microsoft的新塑造的Visual Studio Codepsess相似的方式支持云中的容器化开发环境的支持 - 鉴于Github现在是Microsoft拥有的,这并不令人惊讶。
“Instead of spending all your precious time setting up dev environments and trying to get them to work across all the projects you’re working on, you can get started as a developer on a project with just one click,” explained GitHub’s CEO, Nat Friedman, in his基调。
“最重要的是,代码空间由VScode提供动力,并支持包装盒的每个VSCODE扩展。”
今天免费启动私人Beta,CodeSpess最终将以您的付费价格提供,并将采用多种配置,使开发人员可以添加,例如,更多的CPU,更多的RAM或GPU。
自动扫描
同时,有两个新云安全性Beta:代码扫描中的功能 - 基于去年与Semmle一起获得的工具以及秘密扫描。
弗里德曼解释说:“ github代码扫描将主动扫描您的代码,并直接在代码审查工作流程中识别漏洞。”
“它是用CodeQL的力量来完成的,CodeQL是世界上最先进的语义分析引擎,以及由整个安全研究人员和开源社区编写和共享的CodeQL查询。”
他说,代码扫描得到1,700开源领先的安全研究人员的查询并支持第三方静态应用程序安全测试工具。它对任何公共项目开放。
推荐的Chrome Galvanizer在GitHub上发布以提高Chrome扩展安全性
“Our aim is that for every CVE in open source that’s found that could be generalized, we create a CodeQL query that would cover that, so that instead of manually and artisanally finding and fixing bugs one by one, we can eradicate whole categories of vulnerabilities across software,” he said.
“代码扫描支持可插入的体系结构,因此,如果您想使用codeql以外的其他东西或使用CodeQl等,则可以插入第三方静态安全工具,模糊工具,动态工具 - 无论您想要什么,它们都可以显示它们,并且可以显示它们在相同的用户体验中。”
秘密扫描已经可用于公共存储库,现在也可用于私人存储库,从而允许它们扫描已知的暴露秘密,这些秘密可能导致在线时导致数据泄露。已经确定了超过1000万个潜在的秘密。
Github首席执行官Nat Friedman昨天宣布了更改
DevOps的发展
在昨天的Github卫星活动中,该组织还透露,它计划提供无服务器的编辑,这意味着在浏览器中运行时无需消耗云资源。
Github讨论也是新的,这是一个开发人员以螺纹格式讨论其工作的地方,而不是像现在通过拉动请求那样倾向于发生的。弗里德曼说,适用于问答和常见问题解答,很快就会在Beta开放许多公共存储库。
弗里德曼说:“这是您可以进行开放式对话的地方。”
“问一个问题并得到答案,或者也许会对一个新想法进行集思广益,这可能是一个绝妙的主意。或者只是对您已经在建立社区或支持该项目的工作中获得认可 - 这可能不是编码;并非所有推动社区前进的生产力工作实际上都在编写代码。”
即将推出的是GitHub私人实例,为企业客户提供新的安全功能,包括Brand-inrow-youn-key加密,备份归档和工具,以帮助组织遵守本地数据主权法规。
弗里德曼(Friedman)强调了Github的社区重点,称这是确保代码大规模保护的唯一方法。
他说:“我们想要一个社区驱动的解决方案,我们的观点基本上是开源社区正在建设和维护所有软件。”“只有社区才真正具有真正使其安全的专业知识和规模。”
