GitHub code scanning, destinée aux développeurs, est une approche native de GitHub. Elle permet de trouver facilement les failles de sécurité avant qu’elles n’atteignent l’étape de la production. GitHub est ravi d’annoncer que code scanning est désormais disponible. Il est possible de l’activer sur un dépôt public dès à présent!
Depuis l’acquisition de Semmle il y a un an, GitHub a travaillé pour apporter à ses utilisateurs les capacités révolutionnaires d’analyse de code de la technologie CodeQL en natif. Lors de GitHub Satellite en Mai, GitHub a lancé la première version bêta de son intégration native : code scanning. Grâce aux milliers de développeurs de la communauté qui ont testé et donné leur avis, GitHub est fier d’annoncer que code scanning est désormais accessible à tous.
Code scanning aide à prévenir les problèmes de sécurité dans le code
Code scanning adopte une approche centrée sur le développeur. Au lieu de submerger l’utilisateur de suggestions, code scanning exécute par défaut uniquement les règles de sécurité qui sont exploitables au sein de la solution. L’utilisateur reste ainsi concentré sur la tâche à accomplir.
Code scanning s’intègre à GitHub Actions – ou à un environnement CI/CD existant – pour maximiser la flexibilité des équipes de développeurs. Il scanne le code au fur et à mesure de sa création et fait remonter les revues de sécurité dans les pull requests et autres expériences GitHub utilisées quotidiennement, en automatisant la sécurité dans le cadre du workflow. Cette approche permet aux utilisateurs de s’assurer que les vulnérabilités en termes de sécurité n’atteignent jamais la phase de production.
Code scanning est alimenté par CodeQL, le moteur d’analyse de code le plus puissant au monde. Il est possible d’utiliser plus de 2 000 requêtes CodeQL créées par GitHub et la communauté, ou créer des requêtes personnalisées pour détecter facilement de nouveaux problèmes de sécurité et les prévenir.
Basé sur la norme SARIF, code scanning est extensible afin que les utilisateurs puissent inclure des solutions de test de sécurité des applications statiques (SAST) open sources et commerciales dans une même expérience native GitHub. Il est également possible d’intégrer des moteurs d’analyse tiers pour afficher les résultats de tous les outils de sécurité utilisés dans une seule interface et exporter plusieurs résultats d’analyse via une seule API. GitHub partagera bientôt plus d’informations sur les capacités d’extension disponibles et sur son écosystème de partenaires.
Des résultats passionnants jusqu’à présent !
Depuis l’introduction de la version bêta en mai, GitHub a constaté une adoption massive de la solution par la communauté :
- GitHub a scanné plus de 12 000 dépôts 1,4 million de fois et détecté plus de 20 000 problèmes de sécurité, dont l’exécution de code à distance (RCE), l’injection SQL et les vulnérabilités du cross-site scripting (XSS).
- Les développeurs et les équipes de maintenance ont corrigé 72 % des erreurs de sécurité signalées dans leurs pull requests avant la fusion au cours des 30 derniers jours. GitHub est fier de ce constat, étant donné que les données du secteur montrent que moins de 30% de toutes les failles sont corrigées un mois après leur découverte.
- GitHub a reçu 132 contributions de la communauté à l’ensemble des requêtes open source de CodeQL.
- Nous avons établi des partenariats avec plus d’une douzaine de fournisseurs de sécurité (professionnels et issus du monde open source) pour permettre aux développeurs d’utiliser CodeQL et les solutions leaders du secteur pour le SAST, le scan de conteneurs et pour l’infrastructure afin de valider le code côte- à-côte, au sein de l’expérience de code scanning en natif de GitHub.
Activer code scanning pour les dépôts publics et privés
Code scanning est gratuit pour les dépôts publics. Pour en savoir plus sur la manière d’activer l’analyse de code, cliquez ici.
Pour les dépôts privés, code scanning est disponible pour GitHub Enterprise via GitHub Advanced Security.Pour en savoir plus, cliquez ici.
GitHub incite les développeurs qui souhaitent contribuer à la sécurité de l’écosystème open source, à contribuer également à la liste croissante des requêtes CodeQL et à faire partie de sa communauté dédiée à la sécurité, elle aussi en pleine expansion.