GitHub acaba de anunciar que su nueva función de escaneado de código, GitHub code scanning ya está disponible de forma general. La nueva característica de la plataforma para desarrolladores que Microsoft compró en 2018 por 7.500 millones de dólares, puede examinar cualquier repositorio público en busca de vulnerabilidades.
La idea es ofrecer una función nativa dentro de GitHub que puedan encontrar vulnerabilidades en el código de un repositorio antes de que lleguen a producción. Si tienes un repo público en GitHub, lo puedes activar desde ya siguiendo la documentación oficial.
Seguridad automatizada como parte de tu flujo de trabajo
Con la función activa, el código se irá revisando conforme se vaya creando, y se resaltarán las áreas que podrían ser explotadas en el futuro. En GitHub esperan que con esta característica activa se pueden atrapar los bugs con tiempo para reducir significativamente los incidentes de seguridad en el futuro.
GitHub code scanning se integra con GitHub Actions o con tu actual entorno CI/CD para maximizar la flexibilidad del equipo. Escanea el código a medida que se crea y muestra revisiones de seguridad procesables dentro de las pull requests y otras experiencias de GitHub, todo para automatizar la seguridad como parte del flujo de trabajo.
Antes de su lanzamiento, code scanning pasó por varios meses de prueba. Hasta ahora ha escaneado 12.000 repositorios 1.4 millones de veces, y en total ha detectado 20.000 problemas de seguridad, desde bugs que permitían la ejecución remota de código, pasando por cross-site scripting, hasta inyección SQL.
Durante las pruebas los desarrolladores y encargados del mantenimiento de los repositorios resolvieron el 72% de los fallos de seguridad identificados en sus pull requests antes de hacer merging tras los primeros 30 días.
Es un dato importante puesto que los datos de la industria singuen mostrando que menos del 30% de las vulnerabilidades se corrigen un mes después de ser descubiertas.
Fuente: https://www.genbeta.com/desarrollo/github-ahora-puede-escanear-codigo-tus-repositorios-busca-vulnerabilidades