GitHub, geliştiricilerin yalnızca birkaç tıklamayla otomatik olarak yapılandırmasına yardımcı olmak için tasarlanmış, “varsayılan kurulum” olarak bilinen bir depo için kod taramayı ayarlamak için yeni bir seçenek sundu.
GitHub’ın kod taramasına güç veren CodeQL kod analiz motoru, birçok dil ve derleyici desteğiyle gelirken, yeni seçenek yalnızca Python, JavaScript ve Ruby depoları için görünür.
Ürün pazarlama müdürü Walker Chabbott, GitHub’ın önümüzdeki altı ay içinde desteği daha fazla dile genişletmek için çalıştığını söyledi.
Yeni kod tarama kurulum seçeneğini kullanmak için deponuzun ayarlarında “Kod güvenliği ve analizi”ne gitmeli, “Kurulum” açılır menüsünü tıklatmalı ve Varsayılan seçeneğini seçmelisiniz.
Chabbott, “‘Varsayılan’ı tıkladığınızda, deponun içeriğine dayalı olarak otomatik olarak uyarlanmış bir yapılandırma özeti göreceksiniz” dedi.
“Bu, depoda algılanan dilleri, kullanılacak sorgu paketlerini ve taramaları tetikleyecek olayları içerir. Gelecekte, bu seçenekler özelleştirilebilir.”
“CodeQL’yi Etkinleştir”e bastıktan sonra kod tarama, bulduğu kusurları düzeltmenize ve daha güvenli yazılımlar oluşturmanıza yardımcı olmak için depodaki güvenlik açıklarını hemen aramaya başlar.
Eylül 2019’da Semmle kod analizi platformunun satın alınmasının ardından GitHub platformunun yeteneklerine CodeQL kod analizi motoru eklendi.
Mayıs 2020’de GitHub Satellite’ta ilk kod tarama betası ve genel kullanılabilirliği dört ay sonra, Eylül 2020’de duyuruldu.
Beta testi sırasında özellik, uzaktan kod yürütme (RCE), SQL enjeksiyonu ve siteler arası komut dosyası çalıştırma (XSS) kusurları dahil olmak üzere 20.000’den fazla güvenlik sorununu bulmak için 12.000’den fazla havuzu 1,4 milyon kez taramak için kullanıldı.
Kod tarama, tüm genel havuzlar için ücretsizdir ve GitHub Enterprise özel havuzları için bir GitHub Gelişmiş Güvenlik özelliği olarak da mevcuttur.
Geçen ay GitHub, açıkta olan sırların (kimlik doğrulama belirteçleri ve kimlik bilgileri gibi) tüm halka açık depolara ücretsiz olarak taranması için destek de sundu.