GitHub ha anunciado que su nueva funcionalidad GitHub code
scanning ya está disponible. Esta nueva característica examina código de
cualquier repositorio público en busca de vulnerabilidades.
La idea principal de GitHub añadiendo un escaneo de código
reside en la posibilidad de encontrar vulnerabilidades en el código de un
repositorio antes de que este llegue a producción. Actualmente se puede activar
está funcionalidad siempre y cuando se tenga un repositorio público.
A medida que se crea el código y este es actualizado en
GitHub, esta nueva funcionalidad revisa el nuevo código e indica áreas las cuales
podrían ser explotadas en el futuro. Desde GitHub esperan que con esta funcionalidad
sea posible atrapar bugs con antelación, y conseguir reducir los incidentes de seguridad
en el futuro.
En su fase de pruebas, code scanning ha escaneado 12.000
repositorios 1.4 millions of times, detectando en ellos 20.000 problemas de
seguridad, estos problemas eran bugs que permitían la ejecución remota de
código, inyección SQL o cross-site scripting entre otros.
De estos fallos encontrados por parte de code scanning en su
fase de pruebas, the 72% de los fallos de seguridad en los repositorios fueron resueltos
en sus pull requests antes de hacer un merging tras los primeros 30 days. Este
dato indica la importancia que puede tener esta nueva funcionalidad, debido a
que en la industria un 30% de las vulnerabilidades se corrigen un mes después
de ser descubiertas.
