La herramienta GitHub detecta vulnerabilidades de seguridad en el código



Scanner, que acaba de estar disponible de forma generalizada, permite a los desarrolladores detectar problemas antes de que el código entre en producción.

Una capacidad de escaneo de código que GitHub ha estado probando durante los últimos meses ahora está disponible para las organizaciones que usan la plataforma como parte de su proceso de desarrollo de computer software.

El escáner se basa en CodeQL, una tecnología de análisis de código que GitHub adquirió con la compra de Semmle el año pasado. Brinda a los desarrolladores una forma de escanear el código en busca de vulnerabilidades de seguridad durante el desarrollo y abordar los problemas antes de que el código entre en producción.

GitHub lanzó la primera versión beta del escáner de código integrado de forma nativa en su evento digital GitHub Satellite a principios de este año. Desde entonces, más de 6.000 cuentas de usuario, pertenecientes tanto a individuos como a organizaciones, han habilitado el escaneo de código en sus repositorios de GitHub, dice Justin Hutchings, gerente de producto de GitHub.

Más de 12,000 repositorios en GitHub se han escaneado un whole de 1.4 millones de veces desde que el escáner entró en versión beta. Durante ese período, el escáner ha ayudado a descubrir más de 20.000 problemas de seguridad en el código almacenado en GitHub, incluidas fallas de ejecución remota, errores de inyección de SQL y fallas de secuencias de comandos entre sitios. según GitHub.

«Gracias a sus pruebas y comentarios, estamos seguros de que el escaneo de código está listo para la comunidad en basic», dice Hutchings. «La versión beta de escaneo de código demostró la hipótesis de que si crea herramientas de seguridad para los desarrolladores primero, los desarrolladores las usarán. Según Hutchings, GitHub realizó múltiples mejoras al producto basadas en los comentarios de los usuarios beta del escáner de código para que cumpla con los requisitos de la comunidad de código abierto y las organizaciones comerciales.

Actualmente, se almacena más código fuente en GitHub que en cualquier otra plataforma. Unos 50 millones de desarrolladores y 2,9 millones de empresas en todo el mundo utilizan GitHub para alojar la asombrosa cantidad de 100 millones de repositorios de código. Desde su lanzamiento como un lugar para que los desarrolladores individuales alojen y gestionen de forma segura revisiones de código en 2008, GitHub se ha convertido en la plataforma más utilizada para gestionar proyectos de desarrollo de software program en todo el mundo.

En 2011, GitHub lanzó una versión empresarial de la plataforma que las organizaciones pueden usar localmente para administrar proyectos de application. En 2017, lanzó una versión empresarial en la nube de la tecnología. Microsoft adquirió GitHub por $ 7.5 mil millones en 2018. Algunos de sus clientes más conocidos incluyen Facebook, American Airways, Dow Jones y 3M.

Esfuerzo continuo
Hutchings dice que la nueva función de escaneo de código es parte del esfuerzo continuo de GitHub para ayudar a proteger el ecosistema de software package de código abierto. En 2019, GitHub lanzó Protection Lab, una iniciativa en virtud de la cual trabaja con investigadores de seguridad, desarrolladores y otros para detectar e informar errores en proyectos populares de código abierto. Entre los que participan en el esfuerzo se encuentran Microsoft, Google, HackerOne e Intel.

Estos esfuerzos son importantes porque en los últimos años un gran número de filtraciones de datos han resultado de vulnerabilidades, como esfuerzos de inyección de SQL, errores de validación de entrada y fallas de secuencias de comandos entre sitios en aplicaciones internet. Las vulnerabilidades en el computer software de código abierto, en unique, han sido motivo de gran preocupación debido al uso generalizado de estos componentes en las aplicaciones modernas.

CodeQL, en el que se basa el nuevo escáner de GitHub, es un herramienta de análisis de código semántico que permite a los desarrolladores consultar el código del application como si fueran datos. GitHub ha descrito que la herramienta permite a los desarrolladores escribir una consulta para todas las variantes de una vulnerabilidad de seguridad y luego compartir la consulta con otros para que también puedan buscar los mismos problemas en su código.

El escaneo de código es gratuito para los repositorios públicos y está disponible como un complemento como parte de GitHub Highly developed Protection para GitHub Business Server y GitHub Organization Cloud, dice Hutchings. Su propuesta única es cambiar la seguridad a la izquierda, o antes, en el ciclo de vida del desarrollo de la seguridad. «Permite a los equipos de seguridad empresarial escanear cada compromiso realizado con sus aplicaciones y proporcionar retroalimentación automáticamente durante la revisión del código», dice Hutchings.

Estos comentarios pueden ayudar a los desarrolladores a abordar los problemas más rápidamente. En los últimos 30 días de la versión beta de GitHub, los desarrolladores y mantenedores que usaban la plataforma solucionaron el 72% de los problemas de seguridad que identificaron en su código, dice. «Estamos muy contentos de ver este impacto positivo directo … dado que los datos de la industria muestran que menos del 30% de todos los defectos se corrigen un mes después del descubrimiento».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial