ITCOW牛新网 3月21日消息,GitHub今日宣布,针对所有Advanced Security(GHAS)许可用户,推出全新的“代码扫描”功能预览版。该功能旨在帮助开发者自动搜索GitHub代码库中的潜在安全漏洞和编码错误,从而提升代码的质量和安全性。
这一新功能结合了GitHub的Copilot和CodeQL技术,能够智能地识别代码中的潜在问题,并进行分类和优先级排序,以便开发者更高效地进行修复。值得注意的是,“代码扫描”功能在运行过程中会消耗GitHub Actions的分钟数。
除了能够自动发现问题外,“代码扫描”还具备预防新问题的能力。它支持在特定日期和时间进行扫描,或在存储库中发生特定事件(如代码推送)时触发扫描。这样,开发者可以在代码变更时及时发现并修复潜在问题,防止它们被引入到生产环境中。
当AI系统检测到代码中可能存在漏洞或错误时,GitHub会在仓库中生成告警信息。开发者在修复触发告警的代码后,告警信息将被取消。为了帮助开发者更好地监控和管理“代码扫描”的结果,GitHub提供了web挂钩和code scanning API。此外,“代码扫描”还支持与输出静态分析结果交换格式(SARIF)数据的第三方代码扫描工具进行互操作。
目前,使用CodeQL进行“代码扫描”分析主要有三种方法:使用默认设置快速配置;使用高级设置自定义工作流;以及在外部CI系统中运行CodeQL CLI并上传结果到GitHub。这些方法为开发者提供了灵活的选项,以满足不同场景下的需求。
GitHub承诺,其AI系统能够自动修复所发现的三分之二以上的漏洞,这意味着在大多数情况下,开发者无需主动编辑代码即可解决问题。该公司还表示,“代码扫描”的自动修复功能将覆盖其支持的语言中超过90%的告警类型,目前包括JavaScript、Typescript、Java和Python等主流编程语言。