GitHub は、新しいコード スキャン機能であるGitHub コード スキャンが一般提供されたことを発表しました。 Microsoft が 2018 年に 75 億ドルで買収した新しい開発者プラットフォーム機能は、あらゆるパブリック リポジトリの脆弱性をスキャンできます。
アイデアは、本番環境に到達する前にリポジトリのコードの脆弱性を発見できるネイティブ機能を GitHub 内で提供することです。 GitHub にパブリック リポジトリがある場合は、 公式ドキュメントに従って今すぐアクティベートできます。
ワークフローの一部としての自動セキュリティ
この機能をアクティブにすると、コードの作成時にコードがレビューされ、将来悪用される可能性のある領域が強調表示されます。 GitHub は、このアクティブな機能によりバグを早期に発見し、将来のセキュリティ インシデントを大幅に減らすことができることを期待しています。
GitHub コード スキャンは、GitHub Actions または現在の CI/CD 環境と統合され、チームの柔軟性を最大化します。コードの作成時にスキャンし、プル リクエストやその他の GitHub エクスペリエンス内で実用的なセキュリティ パッチを表示し、すべてワークフローの一部としてセキュリティを自動化します。
発売前に、コード スキャンは数か月にわたるテストを受けました。これまでに 12,000 のリポジトリを 140 万回スキャンし、リモート コード実行を可能にするバグからクロスサイト スクリプティング、SQL インジェクションまで、合計 20,000 件のセキュリティ問題を検出しました。
テスト中、リポジトリの開発者とメンテナは、最初の 30 日後にマージする前に、プル リクエストで特定されたセキュリティ上の欠陥の 72% を解決しました。
業界データでは、発見されてから 1 か月後に修正される脆弱性は30% 未満であることが引き続き示されているため、これは重要な情報です。
詳細情報 | GitHub