Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

GitHub、脆弱性スキャンツールを正式リリース - ベータテストで2万件を発見

GitHubは、ソースコードより脆弱性を発見し、開発者へ修正提案を行う機能「Code Scanning」をリリースした。

同社が2019年9月に買収したSammleのコード解析技術を活用したもの。5月に同機能をGitHubへ統合した初回ベータ版をリリース。テストやフィードバックなどを経て今回正式にリリースした。パブリックリポジトリで利用できる。

解析ツール「CodeQL」において、GitHubやコミュニティが作成した2000件以上のクエリや、カスタムクエリを用いてソースコードをスキャンすることが可能。スキャン後は、プルリクエストとして修正すべき点を表示。効果が少ない大量の修正提案を示すのではなく、修正すべき提案に絞り込み表示するとしている。

「SARIF」に基づき開発されているため、アプリケーションセキュリティテストソリューションをワークフローに取り込むことができるほか、サードパーティ製のスキャンエンジンの統合なども行える。

ベータ公開時には、1万2000以上のリポジトリに対し、140万回のスキャンを実行。リモートよりコードの実行が可能となる脆弱性をはじめ、SQLインジェクション、クロスサイトスクリプティング(XSS)など、2万件以上のセキュリティに関する問題を発見したという。

(Security NEXT - 2020/10/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

顧客情報含む書類を移送中に誤廃棄 - みちのく銀
6月に「IoTセキュリティシンポジウム2022」を開催 - CCDS
WP向けアクセス解析プラグインにXSSの脆弱性
不正アクセスでオンライン囲碁サービスが一時停止
国内主要上場企業の約半数がDMARC導入 - 対象ドメインの12.1%
MS、定例外パッチでDC認証エラーの問題を解消
外国人技能実習監理団体のメアドが流出 - 東京都
同姓同名の別人の除籍謄本を誤交付 - 大阪市
資格検定の申込サイトにサイバー攻撃 - データ改ざんや流出の可能性
ワクチン接種センターの従業員が個人情報を漏洩 - 仙台市