O GitHub está introduzindo uma nova ferramenta para escanear repositórios compatíveis em busca de problemas de segurança, que pode ser configurada em poucos cliques.
Ela é feita para ser fácil e intuitiva, basta ir nas configurações do repositório em que está trabalhando, clicar em “Code security and analysis”, rolar a página até encontrar “Code Scanning”, apertar na caixa de opções onde está escrito “Set Up” e selecionar “Default”. Então aparecerá uma lista de configurações baseada no conteúdo do código fonte.
Apesar de o CodeQL, motor do scanner de código fonte, ser compatível com muitas linguagens e compiladores, o scanner funciona apenas para Python, JavaScript e Ruby, por enquanto.
Durante o período de testes, o Code Scanning escaneou cerca de 12 mil repositórios, 1,4 milhões de vezes e encontrou mais de 20 mil erros de segurança, incluindo a execução de códigos remotos, SQL injection e cross-site scripting.
O Code Scanning está disponível gratuitamente para repositórios públicos e também se encontra em planos empresariais.
