近日,“GitHub”推出了代码自动修复工具 “Code Scanning Autofix”。该功能目前处于公测阶段,提供给 “GitHub Advanced Security”客户,在其私有库上自动启用,能帮助处理“JavaScript”、“Typescript”、“Java” 和 “Python” 中逾九成的警告类型。
据了解,该功能在不怎么需要开发者编程的情况下修复逾三分之二发现的漏洞。“GitHub”称,对于支持的语言中发现的漏洞,修复建议将包括建议修复的自然语言解释,以及开发者可接受、编辑或忽略的代码建议预览。
该工具具有以下特点:
1、开发人员无需主动编辑代码。
2、提供三种主要方法进行代码扫描:默认设置、高级设置和外部“CI”系统。
3、功能将支持“JavaScript、Typescript、Java”和“Python”等语言。
4、代码扫描可与其他代码扫描工具进行交换格式数据。
这项新功能可利用 “Copilot” 与 “CodeQL”(技术点金注:“CodeQL”是“GitHub” 开发的代码分析引擎,用于自动执行安全检查)发现你的代码中可能存在漏洞或错误,并且对其进行分类和确定修复的优先级。
值得一提的是,“代码扫描”需要消耗 “GitHub Actions” (技术点金注:“GitHub Actions”是一种持续集成和持续交付(“CI“/”CD”)平台,可用于自动执行生成、测试和部署管道。用户可以创建工作流程来构建和测试存储库的每个拉取请求,或将合并的拉取请求部署到生产环境。)的分钟数。另外,“代码扫描”还可防止开发者引入新问题,还支持在特定日期和时间进行扫描,或在存储库中发生特定事件(例如推送)时触发扫描。
目前,“GitHub”并已自动启用于所有使用“GitHub”高级安全(“GHAS”)的私有代码库。
"GitHub"发言人指出:“代码扫描自动修复功能可帮助开发人员在编码过程中第一时间修复漏洞,从而缓解了‘应用安全债务’的增长。正如GitHubCopilot帮助开发人员摆脱繁琐重复的任务一样,代码扫描自动修复也将帮助开发团队大大节省用于漏洞修复的时间。”
据官方介绍,目前,对“代码扫描”使用“CodeQL”分析有三种主要方法:
1、使用默认设置在存储库上快速配置对“代码扫描”的“CodeQL”分析。默认设置自动选择要分析的语言、要运行的查询套件和触发扫描的事件,如果需要也可以手动选择要运行的查询套件以及要分析的语言。启用“CodeQL”后,“GitHub Actions” 将执行工作流运行以扫描代码。
2、使用高级设置将“CodeQL”工作流添加到存储库。这会生成一个可自定义的工作流文件,该文件使用”github / codeql-action“运行“CodeQL CLI”。
3、直接在外部 “CI”系统中运行“CodeQL CLI” 并将结果上传到“GitHub”。
“GitHub”计划在未来几个月内支持更多开发语言,“C#”和“Go“将是接下来会支持的语言。
上个月,为了帮助开发者提升安全性,"GitHub"还为所有公共源默认启用了推送保护功能,以防止在推送新代码时意外暴露访问令牌和API密钥等机密。
《About code scanning - GitHub Docs》
759
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
