A varredura de código do GitHub é um dos destaques da mais recente atualização do serviço, agora é possível encontra mais vulnerabilidades de segurança.
Para quem não sabe o GitHub é uma plataforma de hospedagem de código e arquivos com controle de versão usando, que permite qualquer programadores, utilitários ou qualquer usuário cadastrado na plataforma contribuam em projetos privados e/ou Open Source de qualquer lugar do mundo.
O GitHub lançou agora novos recursos de análise de varredura de código baseados nos aprendizados de máquina que descobrirão automaticamente vulnerabilidades de segurança mais comuns antes que elas acabem em produção.
A Varredura de código do GitHub encontra mais vulnerabilidades de segurança
Esses novos recursos de análise estática experimental estão disponíveis agora para repositórios JavaScript e TypeScript GitHub na versão beta pública.
Tiferet Gazit e Alona Hlobina do GitHub, disseram “Com os novos recursos de análise, a varredura de código pode apresentar ainda mais alertas para quatro padrões de vulnerabilidade comuns: cross-site scripting (XSS), injeção de caminho, injeção de NoSQL e injeção de SQL”.
“Juntos, esses quatro tipos de vulnerabilidades são responsáveis por muitas das vulnerabilidades recentes (CVEs) no ecossistema JavaScript/TypeScript, e melhorar a capacidade de varredura de código para detectar essas vulnerabilidades no início do processo de desenvolvimento é fundamental para ajudar os desenvolvedores a escrever códigos mais seguros.”
O novos recursos de análise de código experimental está descobrindo as vulnerabilidades de segurança aparecem como alertas na guia ‘Segurança’ dos repositórios registrados.
Os novos alertas são marcados com um rótulo ‘Experimental‘ e também estarão disponíveis na guia pull requests.
Esse mecanismo de análise de código CodeQL, é o que alimenta a varredura de código do GitHub, sendo adicionado aos recursos da plataforma depois que o GitHub adquiriu a plataforma de análise de código Semmle em setembro de 2019.
A primeira versão beta de varredura de código no GitHub Satellite foi lançada em maio de 2020 e foi anunciado sua disponibilidade geral quatro meses depois, em setembro de 2020.
No período de teste do beta, o recurso de verificação de código foi utilizado para verificar mais de 12.000 repositórios 1,4 milhão de vezes e encontrou mais de 20.000 problemas de segurança, podendo incluir falhas de execução remota de código (RCE), injeção de SQL e scripts entre sites (XSS).
A verificação de código, é gratuita para repositórios públicos e está disponível como um recurso de segurança avançada do GitHub para repositórios privados do GitHub Enterprise.
Para configurar a análise de código para seu código JavaScript/TypeScript, você irá precisar de seguir estas instruções. Os novos recursos estão disponíveis para as suítes de análise de segurança estendida e de segurança e qualidade da verificação de código.
Gazit e Hlobina, acrescentaram “É importante observar que, enquanto continuamos a melhorar e testar nossos modelos de aprendizado de máquina, essa nova análise experimental pode ter uma taxa de falsos positivos mais alta em relação aos resultados de nossa análise CodeQL padrão”.
“Assim como na maioria dos modelos de aprendizado de máquina, os resultados melhorarão com o tempo.”