在 GitHub 发布项目之前,你可以用免费的官方代码扫描程序来检查 Bug 了。
机器之心报道,作者:蛋酱
编程很难,难就难在常有 Bug 而不自知。有程序员调侃:「我不是在写代码,我是在写 Bug。」
从现在开始,你在 GitHub 上传的代码可以免费使用 Bug 筛查程序了。早发现,早报告,早诊断…… 以及早修复。
去年 9 月,GitHub 收购代码分析平台企业 Semmle,宣布将在 GitHub 的***工作流程中引入代码安全性流程。
代码扫描是 GitHub Advanced Security 计划中的一部分。今年 5 月的 Github Satellite 2020 大会,GitHub 率先推出了代码扫描功能的 beta 版,免费提供开源代码扫描功能。启用后,将对每个「git push」进行扫描以查找新的潜在安全漏洞,并将结果直接显示在请求中。
据 GitHub 介绍,在内测阶段,有 12000 个存储库接受了代码扫描,扫描次数达到 140 万次,总共发现了 20000 多个安全问题,包括远程代码执行(RCE)、SQL 注入和跨站脚本(XSS)的漏洞。***和维护人员在一个月内修复了 72% 的已报告安全问题,比例远高于业内统计的 32% 的 30 天内修复率。
经过几个月来众多***的的测试与反馈,九月的***后***,GitHub 宣布「代码扫描」正式上线了。
目前,代码扫描面向公共存储库是免费的。此外,面向使用 GitHub Enterprise 团队,代码扫描功能是 GitHub Advanced Security 的一部分,能够帮助团队更早地查找出项目中的安全漏洞。
代码扫描功能首先是基于***的需求设计的,默认情况下,代码扫描不会提供过多的建议以免造成干扰,只会在保证安全的原则下运行,让***能够专注于手头的任务。
代码扫描与 GitHub Actions 或用户现有的 CI / CD 环境集成在一起,为团队工作提供***大的灵活度。它会在代码被创建时进行扫描,并拉取请求以及用户日常使用的其他 GitHub 服务中可操作的安全性审查,使得自动化安全检查成为工作流的一部分——这样做的目的是让漏洞无法进入生产环境。
该功能由目前功能***强大的代码分析引擎 CodeQL 提供支持。用户可以使用 GitHub 及社区创建的 2000 多个 CodeQL 查询,也可以创建自定义查询来查找和避免新的安全问题。
运行代码扫描程序可能需要几分钟:首先,在 GitHub 上找到存储库的主页,点击存储库名称的「Security」按钮。
然后点击「代码扫描」右侧的「Set up code scanning」:
在「Get started with code scanning」下,在 CodeQL 分析工作流或第三方工作流上单击「Set up this workflow」。
之后可以自定义代码扫描,通常可提交 CodeQL 分析工作流,无需对其进行任何更改。但许多第三方工作流程需要其他配置,因此在提交之前还需要读一下工作流程中的注释。使用「Start commit」下拉菜单,然后输入提交信息,并选择直接提交到默认分支,还是创建一个新分支。
检查流程运行完毕后,用户可以查看已识别的所有代码扫描警报的详细信息。比如触发警报的代码行以及警报的属性,还有何时***出现该问题的地方,对于通过 CodeQL 分析确定的警报,还能看到有关如何解决问题的指引。
操作指南全文:https://docs.github.com/en/free-pro-team@latest/github/finding-security-vulnerabilities-and-errors-in-your-code/enabling-code-scanning-for-a-repository
基于 SARIF 标准,代码扫描功能是可扩展的,用户可以将其他静态应用安全检查方案加入 GitHub 原生体验中,比如集成第三方扫描引擎以实现在单个界面查看所有安全检查的结果,或者通过单个 API 导出多个扫描结果。后续 GitHub 也会发布一些有关扩展功能和合作伙伴生态的信息。
同时,***们也会发现,GitHub 正悄悄完善「同性交友平台」的功能。就在今天,GitHub 还上线了「限制拉取仓库」、「关闭互动区」等功能。
比如你可以设置某个项目的互动时限,24 小时、3 天、一个月、半年内。这一幕好像有点熟悉……
不知这样的「朋友圈」,是不是符合程序员们的口味?
参考链接:https://github.blog/2020-09-30-
淘宝店铺评分灰色高吗?
淘宝店铺评分灰色是什么意思呢?首先需要解释一下淘宝的店铺评分。淘宝对每个店铺都有评分,综合了诸多因素,如卖家的服务态度、商品质量、物流配送等等。其中高评分的店铺有红色、蓝色等等不同颜色,而评分稍低的店铺则是灰色。那么灰色的店铺评分高不高呢?和其他颜色的评分相比,灰色评分的属于中等偏下的水平... 时间:2023-08-16苏宁易购官方旗舰店是***吗?注意什么?
苏宁易购是一家***知名度的电商平台,提供了各种各样的商品,从日用品到高科技产品不一而足。然而,众所周知,电商平台的复杂性导致了许多假假冒伪劣产品的出现,这是任何买家必须注意的问题之一。因此,是否值得信赖苏宁易购官方旗舰店,是否要小心谨慎。接下来,我们将详细讨论苏宁易购官方旗舰店的真实性,并介绍你应该注意的... 时间:2023-08-16如何查看我的支付宝账号?
随着移动支付的兴起,支付宝成为了人们生活中必不可少的一部分。但是有时候我们会忘记自己的支付宝账号,或者想要查看账号的相关信息。下面,就让我们来看看如何查看自己的支付宝账号。方法一:通过支付宝APP查看首先打开支付宝APP,进入首页后点击右上角的“头像”或“设置”按钮,选择“账户与安全”-“账户信息... 时间:2023-08-162022年淘宝家装季预售时间和价格要求
淘宝家装季是每年淘宝推出的大型促销活动之一,旨在让消费者以***优惠的价格购买到***需要的家居用品。那么,2022年淘宝家装季的预售时间和价格要求是什么呢?首先,据淘宝官方消息,2022年淘宝家装季的预售时间将于5月初开始。相比往年的6月份,提前了一个月,这也意味着消费者将有更多的时间来精挑细选所需要的商品... 时间:2023-08-16男装一件代发免费代理:专业服务、高效便捷
男装一件代发免费代理是一项专业的服务领域,主要以帮助各大平台的商家解决一件代发的问题。在近年来,这种代理服务开始受到广大商家的关注,也迅速成为了国内商家更为普遍的物流配送方式之一。那么关于男装一件代发免费代理,究竟有哪些值得我们了解的呢?一、代理服务能力强男装一件代发免费代理的专业团队将以专业的能力和... 时间:2023-08-16