Η GitHub έχει διαθέσει δωρεάν τα εργαλεία αυτόματης σάρωσης κώδικα σε όλα τα έργα ανοιχτού κώδικα.
Ο στόχος, είπε ο κώδικας repo house, είναι να βοηθήσει τους προγραμματιστές να συζητήσουν εκ των προτέρων πιθανές ευπάθειες ασφαλείας και να το κάνουν σε κλίμακα που θα λειτουργήσει τόσο για μικρά όσο και για μεγάλα έργα.
Η λειτουργία, που βασίζεται στα εργαλεία ελέγχου κώδικα που αγόρασε το GitHub πέρυσι όταν ανέβασε το Semmle με έδρα το Ηνωμένο Βασίλειο, γράφει αυτόματα και σαρώνει κώδικα όταν υποβάλλεται ένα νέο αίτημα push και το ελέγχει για ορισμένα κοινά σφάλματα που μπορούν να προκαλέσουν ευπάθειες ασφαλείας .
Ο ανώτερος διευθυντής προϊόντων της GitHub, Justin Hutchings, δήλωσε στο The Register ότι ένα βασικό στοιχείο της σάρωσης Semmle (και τώρα GitHub) ήταν η CodeQL , η γλώσσα ερωτήματος που γράφει και στη συνέχεια ελέγχει τον κώδικα για λάθη.
“Αποδεικνύεται ότι η ικανότητα είναι εξαιρετικά χρήσιμη στην ασφάλεια”, δήλωσε ο Hutchings. “Τα περισσότερα προβλήματα ασφάλειας είναι κακή ροή δεδομένων ή κακή χρήση δεδομένων με τον ένα ή τον άλλο τρόπο.
Ενώ το ίδιο το χαρακτηριστικό θα είναι νέο για το GitHub, τα υποκείμενα εργαλεία Semmle χρησιμοποιούνται εδώ και χρόνια, και γι ‘αυτό το GitHub πιστεύει ότι θα ξεκινήσουν δωρεάν όταν ξεκινούν δωρεάν με έργα ανοιχτού κώδικα και ως πρόσθετο για το πληρωμένο (εταιρικό) τμήμα κλειστού κώδικα του GitHub.
Παρόλο που η δυνατότητα σάρωσης κώδικα θα μπορούσε να θεωρηθεί ως πιο επωφελής για μικρότερα έργα χωρίς αρκετές ώρες εργασίας που απαιτούνται για τον ενδελεχή έλεγχο σφαλμάτων, ο Hutchings σημείωσε ότι κάνοντας τη δυνατότητα βασισμένη σε σύννεφο, οι μεγαλύτεροι προγραμματιστές λαμβάνουν επίσης κάτι στη λίστα επιθυμιών τους.
“Πολλοί από τους εμπορικούς πελάτες μας είναι ενθουσιασμένοι που μπορούν να το εκτελέσουν σε κλίμακα στο cloud μας”, μας είπε.
“Η ανάλυση ασφαλείας είναι εντατική, υπολογίζεις εκατομμύρια γραμμές κώδικα. Θέλεις να το κάνεις αυτό γρήγορα και τελικά φέρνουμε αυτήν την ικανότητα σε ένα φιλοξενούμενο περιβάλλον cloud, ώστε να μπορούν να κλιμακώνονται πιο γρήγορα από ό, τι στο παρελθόν.
Εκτός από τη σάρωση για σφάλματα ασφαλείας, το GitHub προσθέτει επίσης την επιλογή για εμπορικούς προγραμματιστές να σαρώνουν αποθετήρια εκτός σύνδεσης και για εκτεθειμένα μυστικά (κλειδιά, διαπιστευτήρια κ.λπ.) που θα μπορούσαν να οδηγήσουν σε παραβιάσεις δικτύου και διαρροές δεδομένων εάν εκδοθούν στο δημόσιο Διαδίκτυο. Προηγουμένως περιοριζόταν σε δημόσια αποθετήρια (όπως AWS ή Google Cloud), η λειτουργία μυστικής σάρωσης θα μπορεί πλέον να εκτελείται σε ιδιωτικά αποθετήρια GitHub.
Αυτή η προσθήκη, είπε ο Hutchings, δεν είναι μόνο ένα χαρακτηριστικό ασφαλείας αλλά και ένα χαρακτηριστικό σταθερότητας, καθώς βοηθά τους προγραμματιστές να συμβαδίζουν με τις πολιτικές ασφαλείας που απαιτούν αλλαγή κλειδιών σε τακτά χρονικά διαστήματα παρακολουθώντας και καταγράφοντας τις αλλαγές. Με αυτόν τον τρόπο, οι προγραμματιστές μπορούν να αποτρέψουν τις διακοπές λειτουργίας και το χρόνο διακοπής λειτουργίας που θα μπορούσαν διαφορετικά να προκύψουν όταν οι αλλαγές των κλειδιών δεν αναφέρονται και αντιμετωπίζονται σωστά.
theregister.co.uk
