Github запустил Code Scanning — функцию сканирования кода на уязвимости
GitHub запустил в тестовом режиме сервис Code Scanning, основанный на алгоритмах машинного обучения. Инструмент сканирует код и выявляет в нем распространенные типы уязвимостей. Пока функция работает только в репозиториях с JavaScript и TypeScript кодом.
По заявлению компании, Code Scanning способен выявлять ошибки, приводящие к межсайтовому скриптингу, искажению путей файлов и подстановке SQL и NoSQL запросов. Функция реализована на основе инструмента CodeQL. Проверка кода активируется при каждом выполнении команды git push, а результат закрепляется к pull-запросу.
Экспериментальный инструмент по умолчанию доступен пользователям наборов для анализа кода security-extended и security-and-quality. Включить поддержку функции можно и вручную. Для этого необходимо изменить файл конфигурации процесс сканирования кода:
[...]
- uses: github/codeql-action/init@v1
with:
queries: +security-extended
[...]
Результаты проверки отображаются во вкладке безопасности репозитория. Представители сервиса подчеркивают, что все результаты работы экспериментальных функций явно отмечаются специальным значком Experimental.
Пример работы Code Scanning
На прошлой неделе в GitHub появилась нативная поддержка генератора динамических диаграмм Mermaid.js. Теперь все блоки кода в README-файлах, отмеченные тегом mermaid, автоматически рендерятся в диаграммы.
