GitHub, il servizio di hosting per progetti software dal 2018 di proprietà Microsoft, ha annunciato funzionalità che in qualche modo possono rendere il codice più sicuro. Dopo mesi di testing, il repository ha presentato il code scanning, un sistema in grado di scansionare il codice alla ricerca di falle di sicurezza.
Man mano che il codice viene caricato, il sistema GitHub lo scansiona ed è in grado di evidenziare falle e aree che potrebbero successivamente essere sfruttate per “exploit” (vulnerabilità di vario tipo). L’idea è che individuando prima alcuni errori sia possibile ridurre incidenti legati a problematiche di sicurezza.
Finora GitHub ha scansionato 1,4 milioni di volte 12.000 repository e Justin Hutchings – Staff Product Manager dell’azienda – riferisce che questo ha permesso di individuare 20.000 problematiche di sicurezza, incluse falle che avrebbero permesso l’esecuzione di codice da remoto, SQL injection (una tecnica di hacking che, sfruttando alcuni errori nella programmazione di pagine HTML, consente di inserire ed eseguire codice non previsto all’interno di applicazioni web che interrogano un database) e cross-site scripting (XSS), vulnerabilità che riguardano siti web dinamici che impiegano un insufficiente controllo dell’input nei form.
È stato possibile risolvere 72% di queste ultime vulnerabilità nei successivi 30 giorni dalla individuazione. La ricerca di alcune vulnerabilità puà essere automatizzata grazie a un approccio basato sulla ricerca di pattern specifici all’interno del codice, riducendo i tempi per lavorare sui fix necessari. Il sistema di scansione del codice di GitHub per la ricerca di possibili falle e vulnerabilità è il risultato dell’acquisizione di Semmle, startup di San Francisco nata sull’ida di un progetto di ricerca della Oxford University e che consente l’analisi del codice tramite un “motore” specifico denominato CodeQL.
Il meccanismo di code scanning è gratuito per i repository pubblici; per i repository privati, la scansione del codice è disponibile con GitHub Enterprise. Tutte le notizie di macitynet che parlano di Programmazione e Sicurezza informatica sono disponibili ai rispettivi collegamenti.
