GitHub, geliştiricilerin kod güvenlik açıklarını ele alma biçiminde devrim yaratmayı vaat eden yeni bir özellik sunarak uygulama güvenliğinde çığır açtı.
Yeni araç kod tarama otomatik düzeltme, artık tüm GitHub Gelişmiş Güvenlik müşterileri için genel beta sürümünde mevcut olup, kod düzeltmede benzeri görülmemiş bir yardım sunmak için GitHub Copilot ve CodeQL'in gücünden yararlanmaktadır.
Bulunan Araçlar Düzeltildi: Uygulama Güvenliği Vizyonu
GitHub'un uygulama güvenliği vizyonu, “bulunan, düzeltilen anlamına gelir” ilkesinde özetlenmiştir.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Yorgunluk Uyarısı.:
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Kod tarama otomatik düzeltmesinin kullanıma sunulmasıyla GitHub, bir güvenlik açığının keşfedilmesinin hemen ardından çözümünün takip edildiği bir ortama doğru ilerleme kaydediyor.
Bu araç yalnızca teorik bir ilerleme değildir; ekiplerin sorunları geleneksel güvenlik araçlarından yedi kata kadar daha hızlı çözmelerine yardımcı olduğu kanıtlanmış pratik bir çözümdür.
Kod Tarama Otomatik Düzeltme Nasıl Çalışır?
Kod tarama otomatik düzeltmesi, geliştiricilere bir güvenlik açığını gidermek için bir açıklama ve kod önerileri sağlamak üzere tasarlanmıştır.
Bu özellik, JavaScript, TypeScript, Java ve Python gibi popüler programlama dillerindeki uyarı türlerinin %90'ından fazlasını kapsar.
Geliştiricinin gerektirdiği minimum düzenlemeyle, bulunan güvenlik açıklarının üçte ikisinden fazlasını iyileştirebilecek kod önerileri sunabilir.
Uygulama Güvenliği Borcunu Ele Alma
Uygulamalar önde gelen bir saldırı vektörüdür ve birçok kuruluş, üretim depolarında giderek artan sayıda giderilmemiş güvenlik açığını yönetmenin zorluğunu kabul etmektedir.
Kod tarama otomatik düzeltmesi, geliştiricilerin kodlama sırasında ortaya çıkan güvenlik açıklarını düzeltme sürecini basitleştirerek bu “uygulama güvenliği borcunun” büyümesini engellemeyi amaçlıyor.
GitHub Copilot'un sıkıcı ve tekrarlanan görevleri otomatikleştirerek geliştiricilere yardımcı olması gibi, kod tarama otomatik düzeltmesi de geliştirme ekiplerinin daha önce iyileştirme için harcadıkları değerli zamandan tasarruf etmelerine yardımcı olacak şekilde ayarlanmıştır.
Güvenlik ekipleri de günlük güvenlik açıklarının hacmini azalttığından ve hızlı tempolu bir geliştirme ortamında işletmeyi korumak için daha üst düzey stratejilere odaklanmalarına olanak tanıdığından bu araçtan da yararlanır.
Otomatik Düzeltmenin Arkasındaki Teknoloji
Kod tarama otomatik düzeltmesinin ardındaki sihir, sezgisel tarama ve GitHub Copilot API'leri ile birlikte kod önerileri üreten CodeQL motorunda yatmaktadır.
Desteklenen bir dilde bir güvenlik açığı tespit edildiğinde araç, düzeltmenin doğal dilde açıklamasını ve kod önerisinin önizlemesini sağlar.
Geliştiriciler daha sonra öneriyi kabul etmeyi, düzenlemeyi veya reddetmeyi seçebilir. Bu öneriler birden fazla dosyaya yayılabilir ve proje bağımlılıklarında gerekli değişiklikleri içerebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.