Github запустил Code Scanning — функцию сканирования кода на уязвимости

GitHub запустил в тестовом режиме сервис Code Scanning, основанный на алгоритмах машинного обучения. Инструмент сканирует код и выявляет в нем распространенные типы уязвимостей. Пока функция работает только в репозиториях с JavaScript и TypeScript кодом.

По заявлению компании, Code Scanning способен выявлять ошибки, приводящие к межсайтовому скриптингу, искажению путей файлов и подстановке SQL и NoSQL запросов. Функция реализована на основе инструмента CodeQL. Проверка кода активируется при каждом выполнении команды git push, а результат закрепляется к pull-запросу.

Экспериментальный инструмент по умолчанию доступен пользователям наборов для анализа кода security-extended и security-and-quality. Включить поддержку функции можно и вручную. Для этого необходимо изменить файл конфигурации процесс сканирования кода:

[...] - uses: github/codeql-action/init@v1 with: queries: +security-extended
[...]

Результаты проверки отображаются во вкладке безопасности репозитория. Представители сервиса подчеркивают, что все результаты работы экспериментальных функций явно отмечаются специальным значком Experimental.

Пример работы Code Scanning
Пример работы Code Scanning

На прошлой неделе в GitHub появилась нативная поддержка генератора динамических диаграмм Mermaid.js. Теперь все блоки кода в README-файлах, отмеченные тегом mermaid, автоматически рендерятся в диаграммы.

Читайте так же:

  • Huawei начала использовать SoC Snapdragon, а HarmonyOS получила поддержку QualcommHuawei начала использовать SoC Snapdragon, а HarmonyOS получила поддержку Qualcomm Как сообщает Huawei Central. Ссылаясь на китайских информаторов. Компания Huawei начала использовать однокристальные системы Snapdragon. А в операционной системе HarmonyOS появилась поддержка платформ Qualcomm Сообщается. Что Huawei будет использовать 5-нанометровую однокристальную […]
  • Twitter тестирует функцию автоматической блокировки пользователей, использующих «потенциально опасную лексику»Twitter тестирует функцию автоматической блокировки пользователей, использующих «потенциально опасную лексику» Twitter рассказала о тестировании функции автоматической блокировки пользователей, реагирующей на «потенциально опасную лексику». При включенной функции система анализирует взаимодействия пользователя с другими профилями, включая переписки, упоминания и тон общения. Если система […]
  • Осенний Java-хардкор на Joker 2021Осенний Java-хардкор на Joker 2021 В октябре Java-разработчиков ожидает немало интересного: на конференции Joker будут и хардкорные доклады, и любимые спикеры, и нестандартные форматы.О хардкоре: конечно, без него не обходится ни один Joker, но в этот раз программный комитет особенно доволен получившимся. В списке […]
  • Как обмануть HR по-американскиКак обмануть HR по-американски История о том, как одна программистка забавно обвела вокруг пальца кучу IT-контор, показав несостоятельность их HR-специалистов, которых и специалистами, в общем-то, назвать сложно. Боты какие-то.В общем, что она такого сделала? Она провела социологический эксперимент, заставив компании […]