GitHub Satellite 2020 : Code Scanning et Secret Scanning pour améliorer la sécurité du code

Par:
admin

jeu, 07/05/2020 - 15:09

Lors de sa conférence virtuelle GitHub Satellite 2020, GitHub a présenté deux nouvelles bêtas pour GitHub cloud : 

Tout d'abord Code Scanning est maintenant disponible en tant qu'expérience native sur GitHub. Lorsque l'analyse de code est activée, chaque "git push" est analysé pour y rechercher de nouvelles vulnérabilités de sécurité potentielles. Les résultats sont affichés directement dans la pull request de l'utilisateur. L'analyse de code utilise le moteur d'analyse sémantique CodeQL. Afin de contribuer à la sécurité des logiciels les plus importants au monde, GitHub rend l'analyse de code gratuite pour l'open source. Tout projet public peut s'inscrire pour participer à la version bêta.

Ensuite Secret Scanning est désormais disponible pour les dépôts privés. Cette fonctionnalité (anciennement appelée "token scanning") est disponible pour les dépôts publics depuis 2018. GitHub a travaillé avec de nombreux partenaires pour en étendre la couverture, notamment AWS, Azure, Google Cloud, npm, Stripe et Twilio. Avec plus de dix millions de secrets potentiels identifiés, les clients ont demandé à disposer de la même capacité pour leur code privé. Désormais, secret scanning surveille également les dépôts privés pour les formats de secrets connus. Lorsqu'ils sont identifiés, la solution informe immédiatement les développeurs. 

Code Scanning et Secret Scanning sont disponibles gratuitement pour tous les dépôts publics. Ils sont accessibles dans le cadre de GitHub Advanced Security.