La plataforma GitHub permite con una nueva funcionalidad escanear, ahora de manera automatizada, los repositorios para detectar posibles vulnerabilidades. Esta funcionalidad, dado el volumen de código hosteado en la plataforma puede marcar un importante punto de inflexión en cuanto a ciberseguridad.

CBHL0S5WkAAfQRo

Está nueva funcionalidad es un desarrollo sobre el ya existente análisis manual a través de CodeQL. En CodeQL el código se interpreta como datos que son ordenados en una base de datos. Es contra esta base de datos que se ejecutan consultas a partir de una segunda que contiene vulnerabilidades y errores comunes. Cómo en el modelo previo podremos ejecutar escaneos a través de consultas estandard o crear las nuestras propias.

Escaneo automático limitado a ciertos lenguajes

Ahora mismo la funcionalidad se encuentra disponible para analizar repositorios en JavaScript, Python y Ruby, pero ya se ha anunciado que el número de lenguajes de programación soportados irá incrementándose en los próximos meses hasta posiblemente igualar los que también están presentes ya en la opción manual (C/C++, Java..).

Cómo habilitar el escaneo automático

Para activar esta funcionalidad debemos acceder a los settings de nuestro repositorio, una vez allí clicamos en security y en Code security and analysis.
La opción por defecto es para habilitar el código de escaneo automáticamente y la segunda, Advanced, nos permitirá personalizarlo a través de un fichero de configuración .yaml.

En el caso de seleccionar la opción por defecto, veremos en pantalla un resumen de la configuración a usar para el escaneo. Esta incluye el tipo de lenguaje detectado, los paquetes que se usarán para la detección y los eventos que lanzarán el escaneo. Todos estos ahora mismo son elementos informativos pero los podremos configurar en próximas versiones.
Una vez veamos esta configuración podemos clickar en Enable CodeQL para activar el escaneo.

Tenéis más información y ejemplos en el siguiente link, espero que os sea de utilidad.

Fuente GitHub