在 GitHub 发布项目之前,你可以用免费的官方代码扫描程序来检查 Bug 了。
机器之心报道,作者:蛋酱
编程很难,难就难在常有 Bug 而不自知。有程序员调侃:「我不是在写代码,我是在写 Bug。」
从现在开始,你在 GitHub 上传的代码可以免费使用 Bug 筛查程序了。早发现,早报告,早诊断…… 以及早修复。
去年 9 月,GitHub 收购代码分析平台企业 Semmle,宣布将在 GitHub 的***工作流程中引入代码安全性流程。
代码扫描是 GitHub Advanced Security 计划中的一部分。今年 5 月的 Github Satellite 2020 大会,GitHub 率先推出了代码扫描功能的 beta 版,免费提供开源代码扫描功能。启用后,将对每个「git push」进行扫描以查找新的潜在安全漏洞,并将结果直接显示在请求中。
据 GitHub 介绍,在内测阶段,有 12000 个存储库接受了代码扫描,扫描次数达到 140 万次,总共发现了 20000 多个安全问题,包括远程代码执行(RCE)、SQL 注入和跨站脚本(XSS)的漏洞。***和维护人员在一个月内修复了 72% 的已报告安全问题,比例远高于业内统计的 32% 的 30 天内修复率。
经过几个月来众多***的的测试与反馈,九月的***后***,GitHub 宣布「代码扫描」正式上线了。
目前,代码扫描面向公共存储库是免费的。此外,面向使用 GitHub Enterprise 团队,代码扫描功能是 GitHub Advanced Security 的一部分,能够帮助团队更早地查找出项目中的安全漏洞。
代码扫描功能首先是基于***的需求设计的,默认情况下,代码扫描不会提供过多的建议以免造成干扰,只会在保证安全的原则下运行,让***能够专注于手头的任务。
代码扫描与 GitHub Actions 或用户现有的 CI / CD 环境集成在一起,为团队工作提供***大的灵活度。它会在代码被创建时进行扫描,并拉取请求以及用户日常使用的其他 GitHub 服务中可操作的安全性审查,使得自动化安全检查成为工作流的一部分——这样做的目的是让漏洞无法进入生产环境。
该功能由目前功能***强大的代码分析引擎 CodeQL 提供支持。用户可以使用 GitHub 及社区创建的 2000 多个 CodeQL 查询,也可以创建自定义查询来查找和避免新的安全问题。
运行代码扫描程序可能需要几分钟:首先,在 GitHub 上找到存储库的主页,点击存储库名称的「Security」按钮。
然后点击「代码扫描」右侧的「Set up code scanning」:
在「Get started with code scanning」下,在 CodeQL 分析工作流或第三方工作流上单击「Set up this workflow」。
之后可以自定义代码扫描,通常可提交 CodeQL 分析工作流,无需对其进行任何更改。但许多第三方工作流程需要其他配置,因此在提交之前还需要读一下工作流程中的注释。使用「Start commit」下拉菜单,然后输入提交信息,并选择直接提交到默认分支,还是创建一个新分支。
检查流程运行完毕后,用户可以查看已识别的所有代码扫描警报的详细信息。比如触发警报的代码行以及警报的属性,还有何时***出现该问题的地方,对于通过 CodeQL 分析确定的警报,还能看到有关如何解决问题的指引。
操作指南全文:https://docs.github.com/en/free-pro-team@latest/github/finding-security-vulnerabilities-and-errors-in-your-code/enabling-code-scanning-for-a-repository
基于 SARIF 标准,代码扫描功能是可扩展的,用户可以将其他静态应用安全检查方案加入 GitHub 原生体验中,比如集成第三方扫描引擎以实现在单个界面查看所有安全检查的结果,或者通过单个 API 导出多个扫描结果。后续 GitHub 也会发布一些有关扩展功能和合作伙伴生态的信息。
同时,***们也会发现,GitHub 正悄悄完善「同性交友平台」的功能。就在今天,GitHub 还上线了「限制拉取仓库」、「关闭互动区」等功能。
比如你可以设置某个项目的互动时限,24 小时、3 天、一个月、半年内。这一幕好像有点熟悉……
不知这样的「朋友圈」,是不是符合程序员们的口味?
参考链接:https://github.blog/2020-09-30-
古代西京在哪里?中国古代西京现在的位置是哪里?
古代中国历史上,有着多个西京。***早的西京出现在商朝末期,位于今天的河南省安阳市殷墟。此后,周朝迁都洛邑之后,洛阳成为西周的西京。秦朝统一中国后,咸阳成为西家的西京。而汉武帝时期,将首都迁***长安,并将其定为西汉的西京。长安可以称得上是古代中国历史上影响***为深远的城市之一。作为西汉的西京,长安在大约200... 时间:2023-05-30淘宝客放单平台有哪些?
淘宝客放单平台是帮助商家快速提高店铺销量的平台,也被称为淘宝刷单平台。这些平台通过提供免费或低价的商品,吸引大量虚高的交易,达到提高商品排名和信誉的目的。那么,淘宝客放单平台都有哪些呢?1.淘宝拼单网淘宝拼单网是一家提供免费放单服务的平台,注册后可以在平台上选择自己要推广的商品,然后... 时间:2023-05-3020无缝钢管规格表
20无缝钢管是一种高品质的无缝钢管,使用广泛。由于其良好的物理和机械性能,20无缝钢管可用于各类机械、建筑和化工设备的制造。下面介绍20无缝钢管的标准规格表。GB20#、ASTMA106GRB、ASTMA53GRB、Q345B、16MN等是20无缝钢管的常见牌号。根据不同的用途和需求,20无缝钢... 时间:2023-05-30天猫客服电话是多少?
天猫是中国***大的综合性网络购物平台之一,拥有海量的商品资源。在天猫购物时,如果遇到问题需要与客服进行沟通,可以拨打天猫客服电话寻求帮助。天猫客服电话有多种选择天猫的客服体系非常完善,为用户提供多种不同的联系方式。在购物时遇到问题,可以通过以下方式联系天猫客服:1.拨打天猫客服... 时间:2023-05-30气体管道颜色标识标准
气体管道的颜色标识是保障工业安全的重要措施之一。气体管道是指用于输送各种气体的管道,包括液化气、天然气、沼气等。管道颜色的标识可帮助员工在处理气体管道问题时,提供更加明确和精准的信息,防止发生安全事故。标准颜色的确定通常根据各实际应用气体的特征。在国内,按照《GB/T13611-2017》标准规定,... 时间:2023-05-30