GitHub intègre l’outil d’analyse de code dans tous les projets open source • VPNOnlineFree

[ad_1]

GitHub a mis ses outils automatisés d'analyse de code à la disposition de tous les projets open source gratuitement.

L'objectif, a déclaré la maison de dépôt de code, est d'aider les développeurs à repérer à l'avance les failles de sécurité potentielles, et à le faire à une échelle qui fonctionnera pour les petits et les grands projets.

La fonctionnalité, basée sur les outils de vérification de code que GitHub a achetés l'année dernière quand elle a englouti Semmle, basée au Royaume-Uni, trace automatiquement un graphique et scanne le code lorsqu'une nouvelle demande push est effectuée et le vérifie pour un certain nombre d'erreurs courantes pouvant entraîner des failles de sécurité.

Jason Hutchings, chef de produit senior de GitHub, a déclaré Le registre qu'un composant clé de l'analyse Semmle (et maintenant GitHub) était CodeQL, le langage de requête qui représente graphiquement puis vérifie le code pour les erreurs.

“Il s'avère que cette capacité est extrêmement utile en matière de sécurité”, a déclaré Hutchings. “La plupart des problèmes de sécurité sont dus à un mauvais flux de données ou à une mauvaise utilisation des données d'une manière ou d'une autre.”

Bien que la fonctionnalité elle-même soit nouvelle pour GitHub, les outils Semmle sous-jacents sont utilisés depuis des années, c'est pourquoi GitHub pense qu'ils vont démarrer rapidement lorsqu'ils se lanceront gratuitement avec des projets open source et en tant que module complémentaire pour la partie payante (entreprise) de source fermée de GitHub.

Bien que la fonctionnalité de numérisation de code puisse être considérée comme la plus avantageuse pour les petits projets sans suffisamment d'heures de travail pour vérifier soigneusement les bogues, Hutchings a noté qu'en rendant la fonctionnalité basée sur le cloud, les plus gros développeurs ont également quelque chose sur leur liste de souhaits.

“Beaucoup de nos clients commerciaux sont ravis de pouvoir exécuter cela à grande échelle sur notre cloud”, nous a-t-il dit.

“L'analyse de la sécurité nécessite beaucoup de calculs, vous traitez des millions de lignes de code. Vous voulez le faire rapidement et nous intégrons enfin cette capacité dans un environnement cloud hébergé, afin qu'ils puissent évoluer plus rapidement qu'auparavant.”

En plus de rechercher les bogues de sécurité, GitHub ajoute également la possibilité aux développeurs commerciaux d'analyser les référentiels hors ligne et de découvrir les secrets (clés, informations d'identification, etc.) qui pourraient entraîner des violations de réseau et des fuites de données s'ils étaient diffusés sur Internet public. Auparavant limitée aux référentiels publics (tels que AWS ou Google Cloud), la fonction d'analyse secrète pourra désormais s'exécuter sur des référentiels GitHub privés.

Cet ajout, a déclaré Hutchings, n'est pas seulement une fonctionnalité de sécurité mais également une fonctionnalité de stabilité, car il aide les développeurs à suivre les politiques de sécurité qui nécessitent de changer les clés à intervalles réguliers en suivant et en enregistrant les modifications. De cette façon, les développeurs peuvent éviter les pannes et les temps d'arrêt qui pourraient autrement se produire lorsque les changements de clés ne sont pas correctement signalés et traités. ®

Sponsorisé:
Conseils pratiques pour la migration de client à client d'Office 365

[ad_2]

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments