Крупнейший в мире хостинг ИТ-проектов запустил бесплатный поиск ошибок в ПО

, Текст: Дмитрий Степанов

Github открыл для всех пользователей платформы доступ к сервису сканирования исходного кода программ на предмет потенциальных уязвимостей. Ранее инструмент на базе движка CodeQL, которому доверяют в Google, Microsoft, NASA и Uber, предлагался только участникам бета-теста.

Анализатор кода на базе CodeQL вышел в публичный доступ на Github

Крупнейший в мире хостинг ИТ-проектов Github запустил бесплатный сервис по выявлению уязвимостей в исходном коде программ. С 30 сентября 2020 г. он доступен всем желающим. Об этом сообщил старший менеджер по продукту Github Джастин Хатчингс (Justin Hutchings) в официальном блоге компании.

Инструмент, получивший название “Code scanning” («Сканирование кода»), функционирует на базе движка для семантического анализа кода CodeQL. Движок был разработан американской компанией Semmle, которую в 2019 г. купила Github. По словам главы (CEO) Github Нэта Фридмана (Nat Friedman), CodeQL – самый мощный инструмент в своем роде. Его применяют в работе специалисты по безопасности из Google, Microsoft, NASA и Uber.

Сервис автоматически сканирует каждый запрос на включение кода в репозиторий (pull-запроса) на основании преднастроенных шаблонов. Эти шаблоны содержат описания типовых ошибок, совершаемых программистами. В системе их на данный момент более 2 тыс., и пользователи сервиса могут добавлять свои собственные шаблоны.

Инструмент доступен бесплатно для использования с общедоступными репозиториями. Анализ кода в частных (закрытых) репозиториях доступен в рамках расширенного набора услуг безопасности, который предлагает платформа пользователям платного тарифа Github Enterprise.

Результаты сканирования кода в интерфейсе Github

Напомним, что об изменениях в сетке тарифных планов Github объявил в январе 2019 г. Пользователи бесплатного плана Github Free получили возможность создавать любое количество частных репозиториев, однако доступ к каждому из них могли иметь максимум три разработчика. Enterprise Cloud и Enterprise Server были объединены в единый тариф под названием Github Enterprise. Он предназначен для организаций, а его стоимость варьируется в зависимости от числа пользователей.

Первые итоги использования инструмента

Функция выявления уязвимостей была запущена Github в мае 2019 г. в режиме бета-теста. По данным хостинга, в ходе ее «обкатки» было проведено сканирование более чем 12 тыс. репозиториев около 1,4 млн раз и выявлено свыше 20 тыс. проблем с безопасностью. Среди них –несущие угрозу удаленного исполнения кода, внедрения SQL-кода, а также уязвимости типа XSS (межсайтовый скриптинг).

Причем 72% из обнаруженных ошибок были выявлены на этапе рассмотрения pull-запросов и исправлены разработчиками в течение 30 дней. В Github очень довольны таким результатом, особенно учитывая, что в целом по отрасли данный показатель не превышает и 30%.

Несколько слов о Github

Github является крупнейшей в мире платформой для хранения и распространения программного обеспечения с открытым исходным кодом. Услугами платформы пользуются более 28 млн разработчиков ПО, которые хранят здесь свыше 80 млн проектов.

Услугами сервиса пользуются более 1,5 млн компаний, включая крупнейшие корпорации, такие как Apple, Amazon и Google. Microsoft является лидером по количеству разработчиков – участников репозитория Microsoft VSCode на Github.

В 2016 г. в Сети появились первые сообщения о планах Microsoft по приобретению Github, однако руководство сервиса их последовательно опровергало, подчеркивая, что компания ценит свою независимость и не собирается кому-либо продаваться.

Тем не менее, в июне 2018 г. Microsoft официально объявила о приобретении сервиса. Сумма сделки составила $7,5 млрд. Новое подразделение в составе Microsoft возглавил вице-президент корпорации из Редмонда Нэт Фридман.

В сентябре 2019 г. Github объявила о приобретении калифорнийского стартапа Semmle, созданного годом ранее. Сумму и условия сделки стороны не разглашали, однако, как отмечает Techcrunch, до ее завершения компания успела привлечь $31 млн.

В апреле 2020 г. Github снизила стоимость платных тарифов, а также разрешила бесплатно пользоваться приватными репозиториями и подключать к ним неограниченное число разработчиков.

Ранее CNews сообщал, что Microsoft работает над алгоритмами искусственного интеллекта, способными с 99-процентной вероятностью определять ошибки в коде программ и разделять их на критические, важные и малозначимые. ИИ, как отмечалось, позволит сократить время и деньги, затрачиваемые на поиски этих ошибок, и Microsoft собирается выложить код модели его обучения в открытом доступе на Github.


Источник: CNews