GitHub ahora permite a los desarrolladores escanear su código para el repositorio de «configuración predeterminada», con suerte ayudándolos a detectar cualquier problema de seguridad antes de que se intensifique.
Con esta nueva característica, Github dice que los desarrolladores (se abre en una pestaña nueva) podrá configurar el repositorio automáticamente y con el menor esfuerzo posible.
El escaneo de código de GitHub funciona con su motor CodeQL y, si bien es compatible con una amplia variedad de compiladores, hasta ahora la función solo está disponible para Python, JavaScript y Ruby. Eso debería cambiar pronto, dijo Walker Chabbott de GitHub, ya que la compañía ahora busca expandir el soporte a idiomas adicionales para el verano.
Simplificando la búsqueda de errores
Aquellos que deseen probar la nueva función deben abrir la configuración de su repositorio, navegar hasta «Seguridad y análisis del código» y hacer clic en el menú desplegable «Configurar». Allí, encontrarán la opción «Predeterminado».
«Cuando hace clic en ‘Predeterminado’, verá automáticamente un resumen de configuración personalizado basado en el contenido del repositorio», dijo Chabbott en la publicación del blog. «Esto incluye los idiomas detectados en el repositorio, los paquetes de consultas que se utilizarán y los eventos que activarán los análisis. En el futuro, estas opciones se podrán personalizar».
Una vez que se activa «Habilitar CodeQL», la función comenzará automáticamente a buscar fallas en el repositorio.
El motor de análisis de código CodeQL, BleepingEquipo recuerda, se agregó a la plataforma GitHub en septiembre de 2019, luego de la adquisición de este último.
Después de un año de pruebas beta, se anunció la disponibilidad general en septiembre de 2020. Durante la etapa beta, la herramienta escaneó más de 12 000 repositorios, 1,4 millones de veces, y encontró más de 20 000 vulnerabilidades de seguridad. Algunos de estos fueron de alta gravedad, incluida la ejecución remota de código (RCE), la inyección de SQL y las secuencias de comandos entre sitios (XSS).
Escanear el código es gratuito para todos, agregó la publicación, enfatizando que los usuarios de Enterprise también pueden beneficiarse de él, a través de GitHub Advanced Security para GitHub Enterprise.
Vía: BleepingComputer (se abre en una pestaña nueva)