O GitHub acaba de inserir uma nova opção para configurar a verificação de código para um repositório conhecido como “configuração padrão”. Esse novo recurso foi projetado para ajudar os desenvolvedores a configurar essa verificação automaticamente com apenas alguns cliques.
No entanto, enquanto o mecanismo de análise de código CodeQL, que alimenta a varredura de código do GitHub, vem com suporte para muitos idiomas e compiladores, essa nova opção aparece apenas para repositórios Python, JavaScript e Ruby.
GitHub insere nova opção para verificar código de repositórios
De acordo com o gerente de marketing de produtos, Walker Chabbott, o GitHub está trabalhando para expandir o suporte para mais idiomas nos próximos seis meses.
Para usar a nova opção de configuração de verificação de código, você deve ir para “Segurança e análise de código” nas configurações do seu repositório, clicar no menu suspenso “Configurar” e escolher a opção Padrão. “Ao clicar em “Padrão”, você verá automaticamente um resumo de configuração personalizado com base no conteúdo do repositório”, afirma Chabbott.
Ainda segundo ele, isso inclui os idiomas detectados no repositório, os pacotes de consulta que serão usados e os eventos que acionarão as varreduras. No futuro, essas opções serão personalizáveis.
Varredura
Depois de clicar em “Ativar CodeQL”, a varredura de código começará imediatamente a procurar vulnerabilidades no repositório para ajudá-lo a corrigir as falhas encontradas e criar um software mais seguro.
O mecanismo de análise de código CodeQL foi adicionado aos recursos da plataforma GitHub depois que a plataforma de análise de código Semmle foi adquirida em setembro de 2019. A primeira versão beta da varredura de código no GitHub Satellite em maio de 2020 e sua disponibilidade geral foi anunciada quatro meses depois, em setembro de 2020.
Durante o teste beta, o recurso foi usado para verificar mais de 12.000 repositórios 1,4 milhão de vezes para encontrar mais de 20.000 problemas de segurança, incluindo execução remota de código (RCE), injeção de SQL e falhas de script entre sites (XSS), lembra o Bleeping Computer.
A verificação de código é gratuita para todos os repositórios públicos e também está disponível como um recurso de segurança avançada do GitHub para repositórios privados do GitHub Enterprise.
Além desse recurso, no mês passado, o GitHub também lançou suporte para verificação gratuita de segredos exposto (como tokens de autenticação e credenciais) para todos os repositórios públicos. A plataforma pretende aumentar ainda mais a segurança da mesma com a adição desses recursos.