GitHub áp dụng công cụ quét mã đối với tất cả các dự án nguồn mở

15:00 | 21/05/2020 | AN TOÀN THÔNG TIN

GitHub đã cung cấp miễn phí các công cụ quét mã tự động cho tất cả các dự án nguồn mở, với mục đích giúp các nhà phát triển khắc phục các lỗ hổng bảo mật tiềm ẩn trước thời hạn.

GitHub áp dụng công cụ quét mã đối với tất cả các dự án nguồn mở

Tính năng quét mã tự động này dựa trên các công cụ kiểm tra mã mà GitHub đã mua năm 2019 khi mua lại công ty Semmle (Anh), cho phép tự động vẽ biểu đồ và dò quét mã khi có yêu cầu gửi mã nguồn mới lên kho lưu trữ, cũng như kiểm tra một số lỗi phổ biến có thể gây ra lỗ hổng bảo mật.

Giám đốc sản phẩm cao cấp của GitHub - Justin Hutchings nói rằng, một thành phần quan trọng trong quá trình quét mã của Semmle (giờ là GitHub) là CodeQL, ngôn ngữ truy vấn biểu đồ và kiểm tra mã lỗi. Tính năng này rất hữu ích trong việc bảo mật. Bởi hầu hết các vấn đề bảo mật liên quan đến luồng dữ liệu xấu hoặc sử dụng dữ liệu xấu theo một cách nào đó.

Mặc dù tính năng này đối với GitHub là mới, nhưng các công cụ Semmle đã được sử dụng trong thời gian dài. Đó là lý do GitHub tin rằng chúng sẽ hoạt động hiệu quả khi khởi chạy miễn phí cho các dự án nguồn mở và như một tiện ích bổ sung cho phần đóng, trả tiền dành cho doanh nghiệp của GitHub.

Tuy tính năng quét mã có thể hiệu quả nhất đối với các dự án nhỏ không có đủ thời gian kiểm tra lỗi kỹ lưỡng, thì Hutchings lưu ý rằng, bằng cách đưa tính năng lên đám mây, các nhà phát triển lớn cũng sẽ hưởng lợi từ điều này. "Rất nhiều khách hàng thương mại của chúng tôi tỏ ra hào hứng về việc có thể thực hiện tính năng này ở quy mô lớn trên đám mây", ông cho biết thêm.

Phân tích bảo mật tốn rất nhiều năng lực tính toán vì phải xử lý hàng triệu dòng mã. Các nhà phát triển đều muốn thực hiện điều này một cách nhanh chóng. Việc làm này của Github đã mang tới khả năng đánh giá trên một môi trường đám mây, giúp tính năng này trở nên nhanh hơn so với trước đây.

Ngoài việc quét lỗ hổng bảo mật, GitHub cũng đang bổ sung thêm tùy chọn cho các nhà phát triển thương mại để quét các kho lưu trữ ngoại tuyến và tìm các thông tin bí mật có thể bị lộ lọt (khóa, thông tin đăng nhập,...) dẫn đến xâm nhập mạng và rò rỉ dữ liệu. Vốn trước đây chỉ giới hạn ở các kho lưu trữ công cộng (như AWS hoặc Google Cloud), thì tính năng quét thông tin bí mật giờ đây sẽ có thể thực hiện trên các kho lưu trữ GitHub riêng tư.

Ngoài ra, Hutchings cho biết, đây không chỉ là một tính năng bảo mật mà còn là một tính năng ổn định, vì nó giúp các nhà phát triển thực hiện được các chính sách bảo mật yêu cầu thay đổi khóa định kỳ bằng cách theo dõi và ghi lại các thay đổi. Theo cách này, các nhà phát triển có thể ngăn chặn sự cố ngừng hoạt động có thể xảy ra khi các thay đổi khóa không được báo cáo và xử lý đúng cách.

Nguyễn Anh Tuấn

(Theo Register)

‹ › ×

Tin liên quan

Working from Home – những rủi ro an ninh mạng cần phòng tránh

11:00 | 16/04/2020

Làm việc tại nhà (Working from Home - WFH) là một cụm từ thường được nhắc đến trong bối cảnh dịch Covid-19 đang có dấu hiệu gia tăng nhanh. Nhiều công ty đã áp dụng việc hạn chế tiếp xúc bằng cách cho phép nhân viên làm việc từ xa. Trên thực tế, không chỉ khi có dịch Covid-19 thì mới phát sinh nhu cầu làm việc từ xa, mà nó bắt nguồn từ các nhu cầu thực tế như: các nhân viên kinh doanh không ở văn phòng hay lãnh đạo các công ty thường xuyên đi công tác...

Cách gỡ bỏ phần mềm độc hại xHelper trên Android

07:00 | 04/05/2020

Xuất hiện vào tháng 3/2019, phần mềm độc hại xHelper đã lây nhiễm trên hơn 45.000 thiết bị Android. Loại phần mềm độc hại này khiến các chuyên gia bảo mật phải đau đầu, vì nó dường như “bất tử” trước các phần mềm diệt virus và có thể tự cài đặt lại khi bị gỡ bỏ hay reset máy.

Bộ giải mã White Phoenix giúp khôi phục các tập tin bị mã hóa một phần

14:00 | 22/02/2024

CyberArk đã cho ra mắt phiên bản trực tuyến của White Phoenix, một công cụ giải mã ransomware mã nguồn mở dành cho các tệp tin bị mã hóa gián đoạn.

10 lưu ý giúp phòng ngừa mã độc tống tiền cho doanh nghiệp

09:00 | 14/04/2020

Một trong những tấn công mạng để lại hậu quả nặng nề nhất về kinh tế đó là mã độc tống tiền. Khi bị lây nhiễm mã độc này, nạn nhân thường phải chi trả một khoản tiền lớn để lấy lại các dữ liệu quan trọng bị mã hóa.

Tin cùng chuyên mục

Pháp phạt Google 250 triệu euro do vi phạm bản quyền tin tức

08:00 | 04/04/2024

Ngày 20/3, cơ quan quản lý Pháp thông báo phạt Google 250 triệu euro (272 triệu USD) vì vi phạm các cam kết chi trả cho các công ty truyền thông khi sử dụng lại nội dung của các công ty này trên mạng trực tuyến, cũng như sử dụng tư liệu để đào tạo công cụ hội thoại Trí tuệ nhân tạo (AI) mà không có thông báo.

Phát động thi đua và ký giao ước thi đua khối 4 hệ Cơ yếu năm 2024

10:00 | 29/03/2024

Chiều ngày 28/3, tại Hà Nội, Khối thi đua 4 hệ Cơ yếu: Quân đội, Công an, Ngoại giao, Đảng - Chính quyền tổ chức Lễ phát động thi đua và ký giao ước thi đua năm 2024. Đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ tới dự và phát biểu chỉ đạo.

Cuộc chiến nhân tài AI đang nóng lên ở châu Âu

10:00 | 19/03/2024

Làn sóng khởi nghiệp về Trí tuệ nhân tạo (AI) đang dần nóng lên trong cuộc chiến giành nhân tài ở châu Âu, khiến các công ty như Google DeepMind phải đưa ra lựa chọn giữa việc trả mức lương hấp dẫn hoặc đánh mất những bộ óc giỏi nhất của công ty mình.

Apple tăng cường bảo mật iMessage để chống lại mối đe dọa điện toán lượng tử

10:00 | 04/03/2024

Apple đang tung ra giao thức bảo mật iMessage mới nhất của mình, PQ3, cùng với các bản cập nhật hệ điều hành tiếp theo cho tất cả các sản phẩm của Apple sử dụng ứng dụng nhắn tin được mã hóa hai đầu.