GitHub, güvenlik açıklarını bulan kod tarama aracını ücretsiz olarak kullanıma açtı

İnternetin en büyük kod deposu olan GitHub, programların kaynak kodlarındaki güvenlik açıklarını belirlemeyi sağlayan ücretsiz bir hizmet başlattı. CodeQL tabanlı kod analiz aracı 30 Eylül 2020'den itibarıyla herkes tarafından kullanılabiliyor.

Ayrıca Bkz.Apple tarihindeki en büyük iPhone geliyor: iPhone 12 Pro Max

Github Kıdemli Ürün Müdürü Justin Hutchings, şirketin resmi blogunda konuyla ilgili duyuru yaptı. Kod tarama aracı, CodeQL anlamsal kod analiz motoru tarafından destekleniyor. Motor, 2019 yılında Github tarafından satın alınan Amerikan şirketi Semmle tarafından geliştirilmişti.

Github'un CEO'su Nat Friedman'a göre CodeQL, türünün en güçlü aracı. Hali hazırda Google, Microsoft, NASA ve Uber'in güvenlik uzmanları tarafından kullanılıyor. Github'un bu sistemi temel alan kod tarama aracını şu anda halka açık depolarda ücretsiz olarak kullanmak mümkün.

İlk analiz sonuçları

Yayınlanan verilere göre şimdiye kadar 12 binden fazla depo yaklaşık 1.4 milyon kez tarandı ve 20 binin üzerinde güvenlik açığı tespit edildi. Bunlar arasında uzaktan kod yürütme, SQL enjeksiyonu ve XSS (siteler arası komut dosyası oluşturma) açıkları bulunuyor.

Github'un kullanıma sunduğu kod tarama aracı, güvenlik açıklarının önceden tespit edilmesini sağlayarak, yaşanması muhtemel güvenlik olaylarının sayısını azaltacak. Yani en azından umulan bu.