Github kod tarayıcısı, güvenlik açıklarını yapıma geçmeden önce kolaylıkla bulmaya yarayan, geliştiriciye özel, GitHub içi bir yaklaşım. Şu an kullanıcılara açık deponuzda aktive edilebiliyor.
Kod analizi platformu Semmle bir yıl önce GitHub’a katılmıştı. GitHub o zamandan beri Semmle’nin devrimsel kod analizi kabiliyetlerine sahip CodeQL teknolojisini GitHub’a uyarlamak için çalışmaktaydı. Mayıs ayından beri yapılan beta testleri sonucunda şu an kod taraması herkes için kullanıma açık durumda.
Kod tarayıcısı öncelikle geliştiriciler için dizayn edildi. Sizi önerilerle süründürmek yerine sadece uygulamaya geçirilebilecek güvenlik kurallarını çalıştırıyor, böylece siz de elinizdeki işle ilgilenebiliyorsunuz. Ayrıca esnek yapısıyla siz kodunuzu yazdığınız an tarama yapıyor ve pull istekleri gibi her gün kullandığınız GitHub işlemlerinin güvenlik incelemesini yapıyor. Güvenlik otomasyonu her zamanki iş akışınızın bir parçası haline geliyor. Böylece açıklar üretime geçme aşamasına ulaşamıyor bile.
Kod taraması dünyanın en güçlü kod analiz motoru olan CodeQL ile çalışıyor. GitHub ve topluluğunun yarattığı 2000’den fazla CodeQL sorgusundan yararlanabildiği gibi, siz de yeni güvenlik sıkıntılarını kolaylıkla bulup engelleyecek kendi özel sorgularınızı yaratabiliyorsunuz.
Açık SARIF standardı ile inşa edilen kod tarayıcısına uzantılar eklenebiliyor. İsteyen kullanıcılar açık kaynaklı ya da ticari uygulamaları tek bir GitHub arayüzüne ekleyebiliyor, eklenebilen 3. parti tarama motorlarının sonuçlarını tek bir API’dan çıkartabiliyorlar.
- Kod tarayıcısı halka açık kullanıcıların depoları için bedava olarak çalışıyor. Nasıl aktive edilebileceğini buradan öğrenebilirsiniz.
- Özel depolar içinse GitHub Enterprise’in gelişmiş güvenliği üzerinden satın alınabiliyor.
- Ayrıca GitHub açık kaynak ekosistemine yardımcı olmak isteyenleri, CodeQL’in sürekli büyüyen sorgu listesine katkıda bulunmaya davet ediyor.