El escaneo de código de GitHub ahora encuentra más vulnerabilidades de seguridad

La plataforma de alojamiento de código GitHub lanzó hoy nuevas funciones de análisis de escaneo de código basadas en aprendizaje automático que descubrirán automáticamente vulnerabilidades de seguridad más comunes antes de que terminen en producción.

Estas nuevas funciones experimentales de análisis estático ahora están disponibles para los repositorios de GitHub de JavaScript y TypeScript en versión beta pública.

"Con las nuevas capacidades de análisis, el escaneo de código puede generar aún más alertas para cuatro patrones de vulnerabilidad comunes: secuencias de comandos entre sitios (XSS), inyección de ruta, inyección NoSQL e inyección SQL", dijeron Tiferet Gazit y Alona Hlobina de GitHub.

"Juntos, estos cuatro tipos de vulnerabilidad representan muchas de las vulnerabilidades recientes (CVE) en el ecosistema de JavaScript/TypeScript, y mejorar la capacidad del escaneo de código para detectar tales vulnerabilidades al principio del proceso de desarrollo es clave para ayudar a los desarrolladores a escribir un código más seguro".

Las vulnerabilidades de seguridad descubiertas por las nuevas funciones de análisis de código experimental se mostrarán como alertas en la pestaña "Seguridad" de los repositorios registrados.

Estas nuevas alertas están marcadas con  una etiqueta 'Experimental'  y también estarán disponibles a través de la pestaña de solicitudes de incorporación de cambios.


El motor de análisis de código CodeQL, que impulsa el escaneo de código de GitHub, se agregó a las capacidades de la plataforma después de que GitHub adquiriera la plataforma de análisis de código Semmle en  septiembre de 2019 .

GitHub lanzó la primera versión beta de escaneo de código en  GitHub Satellite  en mayo de 2020 y  anunció su disponibilidad general  cuatro meses después, en septiembre de 2020.

Durante las pruebas beta, la función de escaneo de código se usó para escanear más de 12 000 repositorios 1,4 millones de veces y se encontraron más de 20 000 problemas de seguridad, incluidos fallas de ejecución remota de código (RCE), inyección de SQL y secuencias de comandos entre sitios (XSS).

El escaneo de código de GitHub es gratuito para los repositorios públicos y está disponible como una función de seguridad avanzada de GitHub para los repositorios privados de GitHub Enterprise.

Para configurar el análisis de código para su código JavaScript/TypeScript, puede seguir  estas instrucciones . Las nuevas características están disponibles para las suites de análisis de seguridad y calidad y de seguridad extendida del escaneo de códigos.

"Es importante tener en cuenta que mientras continuamos mejorando y probando nuestros modelos de aprendizaje automático, este nuevo análisis experimental puede tener una tasa de falsos positivos más alta en relación con los resultados de nuestro análisis CodeQL estándar", agregaron Gazit y Hlobina .

"Al igual que con la mayoría de los modelos de aprendizaje automático, los resultados mejorarán con el tiempo".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta