¿Cómo verificar el código de su aplicación en busca de vulnerabilidades de seguridad con una herramienta de código abierto?

Aunque muchos usuarios lo ignoran, GitHub cuenta con herramientas nativas en la plataforma que permiten la búsqueda de vulnerabilidades antes de que sus proyectos avancen a instancias definitivas. El escaneo de código ahora está disponible de forma general y cualquiera puede habilitarlo en su repositorio público.

Estas herramientas han avanzado hasta concretar la ejecución de un escaneo de seguridad que no requiere mayor intervención del desarrollador. El escaneo de código se integra con GitHub Actions para maximizar la flexibilidad de su equipo. La herramienta escanea el código a medida que se crea y muestra revisiones de seguridad procesables dentro de las solicitudes de extracción y otras funciones de GitHub de uso regular, automatizando los procesos de seguridad y evitando que las fallas puedan llegar a los usuarios de estos desarrollos.

FUENTE: GitHub

CodeQL impulsa el escaneo de código. Este es considerado el motor de análisis más poderoso del mundo, con más de 2 mil consultas de CodeQL creadas por GitHub y la comunidad de desarrolladores.   

Por su parte, el escaneo de código está basado en el estándar SARIF, que permite la integración de motores de análisis de terceros para ver los resultados de las herramientas de seguridad en una sola interfaz, además de exportar los resultados a través de una API única.

FUENTE: GitHub

Acorde a los desarrolladores, desde el lanzamiento de la beta se han logrado diversos objetivos que incluyen:

  • Más de 1.4 millones de escaneos en más de 12 mil repositorios, lo que ha permitido la detección de diversos problemas de seguridad como vulnerabilidades de ejecución remota de código, inyecciones SQL y fallas XSS
  • Se han corregido cerca del 72% de las vulnerabilidades detectadas en los escaneos de código, que puede considerarse un éxito en comparación con el 30% de fallas corregidas al mes corregidas en la industria
  • Se han establecido alianzas con al menos el 10% de proveedores de seguridad comercial y de código abierto. permitiendo a los desarrolladores la ejecución de CodeQL de forma nativa en GitHub

El escaneo de código es gratuito para los repositorios públicos, mientras que los repositorios privados pueden obtener acceso a esta herramienta a través de GitHub Enterprise.