Сканирование кода
GitHub чрезвычайно работает над улучшением проблем безопасности в репозиториях с открытым исходным кодом, размещенными на его платформе, что еще больше развивается с традиционных Управление исходным кодом подход к Devsecops Использование своей собственной платформы непрерывной интеграции, Действия GitHub .
Обеспечение программного обеспечения вместе
С учетом вышеупомянутого девиза GitHub выпустил свою новую функцию под названием Сканирование кода в Бета — публичное выпуск вскоре после получения отзывов от тех, кто использует его в раннем доступе.
Что такое сканирование кода?
Сканирование кода является предстоящим нативным инструментом GitHub для поиска уязвимостей безопасности и ошибок кодирования в репозиториях.
Для любой обнаруженной ошибки/уязвимости GitHub создает оповещение в репозитории, которое можно удалить только после установки причины запуска.
Сканирование кода автоматизируется с использованием действий GitHub и может быть настроено с помощью Временное управление триггеры или Направлено событием триггеры
Двигатель CodeQL
Кодовое сканирование использует CodeQl Двигатель для анализа семантического кода.
QL-это объектно-ориентированный язык программирования и языка запросов, который способствует CodeQL.
CodeQL поддерживает как скомпилированные, так и интерпретируемые языки, включая — C/C ++, C#, Golang и т. Д.
Сторонняя поддержка
Сканирование кода GitHub совместимо со сторонними инструментами, учитывая, что они следуют открытому стандарту Сарид Протокол (формат обмена результатами статического анализа)
Ссылки/дальнейшие чтения
https://docs.github.com/en/github/finding-security-vulnerabilities-and-errors-in-your-code/about-code-scanning
https://docs.github.com/en/github/finding-security-vulnerabilities-and-errors-in-your-code/sarif-support-for-code-scanning
Адиос
Сообщения предназначены для распространения информации о последних советах и хитростях для предстоящих и трендовых технологий в мире программного обеспечения.
Если вам нравится эта работа, пожалуйста, поддержите меня, следуя за мной на разработке, GitHub и Twitter Анкет Ваше здоровье! ❤
Оригинал: «https://dev.to/nishkarshraj/thread-devsecops-automation-on-github-thread-part-1-2hjd»