GitHub发布安全漏洞“死对头”CodeQL,“解放”程序员双手

最新推荐文章于 2024-05-22 17:39:18 发布
最新推荐文章于 2024-05-22 17:39:18 发布
阅读量1.4w 收藏 2
点赞数 4
文章标签: github 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66862559/article/details/123125712
版权

作者 | Tiferet Gazit

编译 | 张洁

责编 | 屠敏

一开始,安全人员都是通过人工查找危险函数代码的,但随着代码数量的增加,很难靠人工去查找并且覆盖所有的代码。这时候出现了一些检索工具(比如:rips和cobra)可以去帮助查找危险代码,但美中不足的是还需要人工去判断是否存在安全漏洞。

随着科技行业的发展,后面也慢慢出现了不少的自动化代码安全审核产品,如Checkmarx。但是这些都不是免费的,且价格昂贵。自从GitHub发布CodeQL以来,越来越多的安全人员用它来做代码安全评估工作。

CodeQL是一个免费的静态扫描代码工具,可以扫描发现代码库中的漏洞并提供相对应的改善方法。GitHub的代码扫描现在使用ML (机器学习) 来提醒开发人员注意其代码中的潜在安全漏洞。

抵御漏洞,预防为先

代码安全漏洞可能允许有恶意行为的人操纵软件并以有害的方式运行。防止此类攻击的最好方法就是在漏洞被利用之前检测并修复漏洞代码。GitHub的代码扫描功能利用CodeQL分析引擎来发现源代码中的安全漏洞,并在拉动请求中出现警报。

为了检测存储库中的漏洞,CodeQL引擎首先构建了一个数据库,该数据库对特殊的代码进行编码。安全员可以在该数据库上进行一系列的CodeQL查询,每次查询都是为了查找特定类型的安全问题。

许多漏洞都是由单一的重复模式引起的:用户数据未经过清理,随后以危险的方式使用。为了防止不安全的用户数据最终进入危险的位置,CodeQL查询封装了大量潜在用户数据源(例如,Web框架)以及潜在风险接收器。安全社区的成员与GitHub的安全专家一起,不断扩展和改进这些查询,对其他常见库和已知模式进行建模。然而,手动建模可能会很耗时,而且总会有

最低0.47元/天 解锁文章
大工艺
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
[ github资源 ] github网络安全相关仓库.xlsx
02-11
[ github资源 ] github网络安全相关仓库
GitHub使CodeQL免费用于研究和开源
cxu0262的博客
05-19 705
GitHub已免费提供CodeQL ,这是一个语义代码分析引擎和查询工具,用于在整个代码库中查找安全漏洞,任何人都可以免费使用它进行研究或分析开源代码CodeQL代码一样查询代码。 开发人员可以使用CodeQL编写查询来查找漏洞的所有变体,然后与其他开发人员共享该查询。 例如,开发人员可以创建一个模仿跨站点脚本错误类的查询,然后使用该查询查找任何错误类。 CodeQL还可以用于查找零...
白盒代码审计工具——CodeQL安装与使用教程【Linux+Windows】
m0_54129327的博客
12-05 6376
学习CodeQL代码审计工具的总结 CodeQL的安装
CodeQL漏洞挖掘实战
dzqxwzoe的博客
09-19 129
CodeQL是一个白盒源码审计工具,它以一种非常新颖的方式组织代码与元数据,使研究人员能够“像查询数据库一样检索代码”,并发现其中的安全问题。GitHub于去年收购了开发CodeQL的公司Semmel,并与其联合成立了GitHub Security Lab,Semmel在此前推出了面向开源社区和企业的源代码分析平台LGTM,这个平台能够自动化的发现并预警GitHub上开源软件的安全问题,同时,与CodeQL一样对开源社区与开发者保持免费。本文将从CodeQL的基础知识出发,跟随GitHub Security
CodeQL从入门到精通系列 」02.CodeQL安装指导及使用方式
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-25 3654
使用CodeQL前需要先安装CodeQL解析引擎CodeQL CLI和CodeQL SDK。CodeQL CLI为编译好的二进制文件,本身不开源,Github默认提供了Windows、Linux及MacOS三个系统的版本,文件平均大小300M+。但国内从Github下载文件的速度异常慢且容易下载中断,如果是Windows平台建议直接从网盘下载。CodeQL SDK中包含了CodQL标准库和各种主流语言的常见查询规则,方便开发者进行二次开发。
渗透测试学习工具
北观止的博客
10-27 3344
漏洞练习平台 WebGoat漏洞练习平台: https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台: https://github.com/710leo/ZVulDrill vulapps漏洞练习平台: https://github.com/Medicean/VulApps dvwa漏洞练习平台: https://g
程序员的神器GitHub
01-03
**GitHub程序员的协作与版本控制平台** GitHub 是全球最大的开源软件托管平台,它为程序员提供了存储、管理和协作开发代码的场所。无论你是个人开发者还是团队成员,GitHub 都能帮助你有效地管理项目,实现代码...
Github发布动作:在动作中发布Github版本
02-05
Github发布动作:在动作中发布Github版本
程序员简历模板#程序员简历模板GITHUB生成
02-28
"程序员简历模板#程序员简历模板GITHUB生成"是一个专为程序员设计的项目,旨在帮助求职者创建个性化、独特且具有亮点的简历。该项目通过GitHub平台提供,这是一个广受欢迎的开源代码托管平台,程序员们在这里分享、...
github-release:简单的Github发布命令行工具
02-02
github发布 另一个Github发布命令行工具。 但是,此工具更加简约且易于使用。 Github command line release tool. Usage: github-release <user> <tag> <branch> <description> "<files>" Parameters: <user>: ...
信息安全_github泄露监控实践.pptx
08-14
【信息安全_github泄露监控实践】 在当今数字化时代,信息安全已经成为企业和个人关注的焦点。随着开源社区的繁荣,尤其是像GitHub这样的平台,它为开发者提供了一个共享和协作的平台,但同时也可能成为信息泄露的...
从“黑掉Github”学Web安全开发
01-30
IhackedGithubagain》(墙)说明了这5个安全bug以及他把github黑掉的思路。Egor的这篇文章讲得比较简单,很多地方一笔带过,所以,我在这里用我的语言给大家阐述一下黑掉Github的思路以及原文中所提到的那5个bug。...
秋招必备!Github 1.8 万星的『程序员面试宝典』
01-20
今天分享给大家一份很有份量的『秋招程序员面试宝典』,希望大家可以找到适合自己的『秘籍』。 项目:interview_internal_reference 作者:0voice(wangbojing) Star:18381 简介:内容涵盖包含了阿里巴巴、华为、...
github-releases:检查github项目的发布
02-04
github-releases:检查github项目的发布
GitHub优质项目汇总——程序员必知.zip
05-27
本资源“GitHub优质项目汇总——程序员必知.zip”是针对程序员精心筛选的一系列优秀项目集合,涵盖多个领域,旨在帮助提升技能,增强学习效率。 首先,让我们关注“测试”这一标签。在软件开发过程中,测试是确保...
GitHub新漏洞!4行代码轰炸出6千万封电子邮件
a934079371的博客
06-24 1283
整理|燕珊(infoQ)又一场波及数十万人的电子邮件风暴(Email storm)意外发生,这次的地点是在 GitHub 平台,事件主角是一位仅 18 岁的来自印度的年轻开发者 Rohith Sreedharan,他近日不小心给 GitHub 上约 40 万名用户发送了电子邮件。 事件起因 6 月 3 日,Rohith Sreedharan 向游戏公司 Epi...
GitHub发布这家公司漏洞,警察找上门!
Javachichi的博客
06-28 309
今天我吃到了一个网络安全领域的瓜:根据聊天记录透露的信息,事情大概是这样:一个挖洞的白帽子,挖到了一家公司的沙箱的漏洞,可以实现沙箱逃逸。(这里插一句:沙箱是网络安全领域分析恶意样本文件的主流软件技术,通过将样本放置于沙箱的虚拟环境中运行,观测其动态行为表现,来综合分析样本是不是恶意软件)这家公司是安全圈有名的公司,前段时间还因为开发监控员工离职倾向分析的功能上过热搜。据白帽子的自述,他挖到这个漏洞之后,报给了这家公司的安全响应中心SRC。这家公司的员工答复他说可以给他2万奖金,但等他提交之后,对方不认账了
Github网络安全测试工具库_github漏洞扫描器项目
youmaob的博客
03-27 862
Github网络安全测试工具库_github漏洞扫描器项目
GitHub 企业服务器中存在严重漏洞,可导致认证绕过
最新发布
smellycat000的专栏
05-22 43
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitHub 修复了位于GitHub 企业服务器 (GHES) 中的一个CVSS满分漏洞CVE-2024-4985,它可导致攻击者绕过认证防护措施。CVE-2024-4985可使攻击者在无需提前认证的情况下,越权访问实例。该公司发布安全公告提到,“使用SAML单点登录认证的实例如具有可选的加密断言特性,则攻击者可伪造SAML响应以及/或者获得对具...
GitHub安全事件:如何高效利用及其价值解析
GitHub是一个全球知名的在线平台,专注于提供基于Git的版本控制和协作服务。成立于2008年4月,由Chris Wanstrath、PJ Hyett和Tom Preston-Werner共同创建于美国旧金山,其初衷是作为一个分布式版本控制系统(DVCS)...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值