GitHub正式启动代码扫描工具以免费查找错误和漏洞

注意，明星公众号，是的，令人兴奋的内容作者：egg sauce来源：Almost Human GitHub在发布项目之前，您可以使用免费的Bug官方代码扫描程序进行检查。

编程是很困难的，但是困难是经常有一些不知道的错误。

一些程序员嘲笑：“我不是在写代码，我是在编写错误”。

从现在开始，您在GitHub上载的代码可以免费使用错误筛选程序。

早期发现，早期报告，早期诊断...以及早期修复。

去年9月，GitHub收购了代码分析平台公司Semmle，并宣布将在GitHub的开发人员工作流程中引入代码安全流程。

代码扫描是GitHub Advanced Security程序的一部分。

在今年5月举行的Github Satellite 2020会议上，GitHub率先启动了代码扫描功能的beta版，免费提供了开源代码扫描功能。

一旦启用，则每个“ git push”将被激活。

将扫描新的潜在安全漏洞，结果将直接显示在请求中。

根据GitHub的说法，在封闭Beta阶段，有12,000个存储库收到了代码扫描，扫描数量达到140万，并且总共发现了20,000多个安全问题，包括远程代码执行（RCE），SQL注入和跨平台安全性。

网站脚本（XSS）漏洞。

开发人员和维护人员在一个月内修复了72％的已报告安全问题，远高于该行业在30天之内修复32％的修复率。

经过数月的测试和来自许多开发人员的反馈，GitHub在9月的最后一天宣布了“代码扫描”功能，正式启动。

当前，公共存储库免费进行代码扫描。

此外，对于使用GitHub Enterprise的团队来说，代码扫描功能是GitHub Advanced Security的一部分，它可以帮助团队更早地发现项目中的安全漏洞。

首先根据开发人员的需求设计代码扫描功能。

默认情况下，代码扫描不会提供太多建议来避免干扰，而只会在确保安全性的原则下运行，从而使开发人员可以专注于手头的任务。

代码扫描与GitHub Actions或用户现有的CI / CD环境集成在一起，为团队工作提供最大的灵活性。

它会在创建代码时对其进行扫描，并在用户日常使用的其他GitHub服务中提取请求和其他操作安全性审查，从而使自动安全性检查成为工作流程的一部分-这样做的目的是使漏洞无法访问生产环境。

当前可用的最强大的代码分析引擎CodeQL支持此功能。

用户可以使用GitHub和社区创建的2000多个CodeQL查询，也可以创建自定义查询来查找和避免新的安全问题。

运行代码扫描程序可能需要几分钟：首先，在GitHub上找到存储库的主页，然后单击“安全”。

存储库名称的按钮。

然后点击“设置代码扫描”在“代码扫描”的右侧：在“代码扫描入门”下，点击“设置此工作流程”。

在CodeQL分析工作流程或第三方工作流程上。

您可以在以后自定义代码扫描，并且通常可以在不进行任何更改的情况下提交CodeQL分析工作流。

但是许多第三方工作流程需要其他配置，因此您需要在提交之前阅读工作流程中的注释。

使用“开始提交”下拉菜单，然后输入提交信息，并选择是直接提交到默认分支还是创建新分支。

检查过程完成后，用户可以查看已识别的所有代码扫描警报的详细信息。

例如，对于通过CodeQL分析确定的警报，触发警报的代码行和警报的属性以及首次发生问题的时间，还可以查看有关如何解决问题的指南。

操作指南的全文：https://docs.github.com/en/free-pro-team@latest/github/finding-security-vulnerabilities-and-errors-in-your-code/enabling-code-扫描存储库基于SARIF标准。

代码扫描功能是可扩展的。

用户可以向GitHub本地体验中添加其他静态应用程序安全检查解决方案，例如集成第三方扫描引擎以在单个界面上查看所有安全检查的结果，或者通过单个API导出多个扫描结果。

后续GitHub还将发布一些有关扩展功能和合作伙伴生态系统的信息。

同时，开发人员还将发现GitHub正在悄然改善“同性约会平台”的功能。

就在今天，GitHub还启动了诸如“ Restrict Pull Re