<kbd id="afajh"><form id="afajh"></form></kbd>
<strong id="afajh"><dl id="afajh"></dl></strong>
    2. 

    <del id="afajh"><form id="afajh"></form></del>
    

    5. 

        1. <th id="afajh"><progress id="afajh"></progress></th>

          <b id="afajh"><abbr id="afajh"></abbr></b>
          <th id="afajh"><progress id="afajh"></progress></th>
          還在寫(xiě) BUG?試試 GitHub 官方代碼掃描工具!
          共
                2221字,需瀏覽
                    5分鐘
                
           ·
          2020-11-10 22:27
          
                    

                    

                    
                    
                    
          Java技術(shù)棧
          www.javastack.cn
          關(guān)注閱讀更多優(yōu)質(zhì)文章


          本文經(jīng)機(jī)器之心(微信公眾號(hào):almosthuman2014)授權(quán)轉(zhuǎn)載,禁止二次轉(zhuǎn)載
          作者:蛋醬
          參考:github.blog/2020-09-30-code-scanning-is-now-available/

          在 GitHub 發(fā)布項(xiàng)目之前,你可以用免費(fèi)的官方代碼掃描程序來(lái)檢查 Bug 了。


          編程很難,難就難在常有 Bug 而不自知。有程序員調(diào)侃:「我不是在寫(xiě)代碼,我是在寫(xiě) Bug。」不怕,關(guān)注公眾號(hào)Java技術(shù)棧回復(fù)手冊(cè)可以獲取一份最新的阿里?Java?代碼規(guī)范。

          從現(xiàn)在開(kāi)始,你在 GitHub 上傳的代碼可以免費(fèi)使用 Bug 篩查程序了。早發(fā)現(xiàn),早報(bào)告,早診斷…… 以及早修復(fù)。

          去年 9 月,GitHub 收購(gòu)代碼分析平臺(tái)企業(yè) Semmle,宣布將在 GitHub 的開(kāi)發(fā)者工作流程中引入代碼安全性流程。

          代碼掃描是 GitHub Advanced Security 計(jì)劃中的一部分。今年 5 月的 Github Satellite 2020 大會(huì),GitHub 率先推出了代碼掃描功能的 beta 版,免費(fèi)提供開(kāi)源代碼掃描功能。啟用后,將對(duì)每個(gè)「git push」進(jìn)行掃描以查找新的潛在安全漏洞,并將結(jié)果直接顯示在請(qǐng)求中。

          據(jù) GitHub 介紹,在內(nèi)測(cè)階段,有 12000 個(gè)存儲(chǔ)庫(kù)接受了代碼掃描,掃描次數(shù)達(dá)到 140 萬(wàn)次,總共發(fā)現(xiàn)了 20000 多個(gè)安全問(wèn)題,包括遠(yuǎn)程代碼執(zhí)行(RCE)、SQL 注入和跨站腳本(XSS)的漏洞。開(kāi)發(fā)者和維護(hù)人員在一個(gè)月內(nèi)修復(fù)了 72% 的已報(bào)告安全問(wèn)題,比例遠(yuǎn)高于業(yè)內(nèi)統(tǒng)計(jì)的 32% 的 30 天內(nèi)修復(fù)率。

          經(jīng)過(guò)幾個(gè)月來(lái)眾多開(kāi)發(fā)者的的測(cè)試與反饋,九月的最后一天,GitHub 宣布「代碼掃描」正式上線了。


          目前,代碼掃描面向公共存儲(chǔ)庫(kù)是免費(fèi)的。此外,面向使用 GitHub Enterprise 團(tuán)隊(duì),代碼掃描功能是 GitHub Advanced Security 的一部分,能夠幫助團(tuán)隊(duì)更早地查找出項(xiàng)目中的安全漏洞。


          代碼掃描功能首先是基于開(kāi)發(fā)者的需求設(shè)計(jì)的,默認(rèn)情況下,代碼掃描不會(huì)提供過(guò)多的建議以免造成干擾,只會(huì)在保證安全的原則下運(yùn)行,讓開(kāi)發(fā)者能夠?qū)W⒂谑诸^的任務(wù)。關(guān)注公眾號(hào)Java技術(shù)棧回復(fù)手冊(cè)可以獲取一份最新的阿里 Java 代碼規(guī)范。

          代碼掃描與 GitHub Actions 或用戶現(xiàn)有的 CI / CD 環(huán)境集成在一起,為團(tuán)隊(duì)工作提供最大的靈活度。它會(huì)在代碼被創(chuàng)建時(shí)進(jìn)行掃描,并拉取請(qǐng)求以及用戶日常使用的其他 GitHub 服務(wù)中可操作的安全性審查,使得自動(dòng)化安全檢查成為工作流的一部分——這樣做的目的是讓漏洞無(wú)法進(jìn)入生產(chǎn)環(huán)境。


          該功能由目前功能最強(qiáng)大的代碼分析引擎 CodeQL 提供支持。用戶可以使用 GitHub 及社區(qū)創(chuàng)建的 2000 多個(gè) CodeQL 查詢,也可以創(chuàng)建自定義查詢來(lái)查找和避免新的安全問(wèn)題。

          運(yùn)行代碼掃描程序可能需要幾分鐘:首先,在 GitHub 上找到存儲(chǔ)庫(kù)的主頁(yè),點(diǎn)擊存儲(chǔ)庫(kù)名稱的「Security」按鈕。


          然后點(diǎn)擊「代碼掃描」右側(cè)的「Set up code scanning」:


          在「Get started with code scanning」下,在 CodeQL 分析工作流或第三方工作流上單擊「Set up this workflow」。


          之后可以自定義代碼掃描,通常可提交 CodeQL 分析工作流,無(wú)需對(duì)其進(jìn)行任何更改。但許多第三方工作流程需要其他配置,因此在提交之前還需要讀一下工作流程中的注釋。使用「Start commit」下拉菜單,然后輸入提交信息,并選擇直接提交到默認(rèn)分支,還是創(chuàng)建一個(gè)新分支。


          檢查流程運(yùn)行完畢后,用戶可以查看已識(shí)別的所有代碼掃描警報(bào)的詳細(xì)信息。比如觸發(fā)警報(bào)的代碼行以及警報(bào)的屬性,還有何時(shí)首次出現(xiàn)該問(wèn)題的地方,對(duì)于通過(guò) CodeQL 分析確定的警報(bào),還能看到有關(guān)如何解決問(wèn)題的指引。


          操作指南全文:https://docs.github.com/en/free-pro-team@latest/github/finding-security-vulnerabilities-and-errors-in-your-code/enabling-code-scanning-for-a-repository

          基于 SARIF 標(biāo)準(zhǔn),代碼掃描功能是可擴(kuò)展的,用戶可以將其他靜態(tài)應(yīng)用安全檢查方案加入 GitHub 原生體驗(yàn)中,比如集成第三方掃描引擎以實(shí)現(xiàn)在單個(gè)界面查看所有安全檢查的結(jié)果,或者通過(guò)單個(gè) API 導(dǎo)出多個(gè)掃描結(jié)果。后續(xù) GitHub 也會(huì)發(fā)布一些有關(guān)擴(kuò)展功能和合作伙伴生態(tài)的信息。

          同時(shí),開(kāi)發(fā)者們也會(huì)發(fā)現(xiàn),GitHub 正悄悄完善「同性交友平臺(tái)」的功能。就在今天,GitHub 還上線了「限制拉取倉(cāng)庫(kù)」、「關(guān)閉互動(dòng)區(qū)」等功能。


          比如你可以設(shè)置某個(gè)項(xiàng)目的互動(dòng)時(shí)限,24 小時(shí)、3 天、一個(gè)月、半年內(nèi)。這一幕好像有點(diǎn)熟悉……

          不知這樣的「朋友圈」,是不是符合程序員們的口味?





          關(guān)注Java技術(shù)棧看更多干貨


          戳原文,獲取精選面試題!
          
                
          瀏覽
                    49
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          評(píng)論
          圖片
          表情
          推薦
        
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          

          <kbd id="afajh"><form id="afajh"></form></kbd>
          <strong id="afajh"><dl id="afajh"></dl></strong>
            2. 

            <del id="afajh"><form id="afajh"></form></del>
            

            5. 

                1. <th id="afajh"><progress id="afajh"></progress></th>

                  <b id="afajh"><abbr id="afajh"></abbr></b>
                  <th id="afajh"><progress id="afajh"></progress></th>
                  

三级操逼片
|
奇米四区|
真人一级毛毛片
|
国产无毛一线天
|
亚洲成人中文娱乐网
|