Tính năng quét mã tự động này dựa trên các công cụ kiểm tra mã mà GitHub đã mua năm 2019 khi mua lại công ty Semmle (Anh), cho phép tự động vẽ biểu đồ và dò quét mã khi có yêu cầu gửi mã nguồn mới lên kho lưu trữ, cũng như kiểm tra một số lỗi phổ biến có thể gây ra lỗ hổng bảo mật.
Giám đốc sản phẩm cao cấp của GitHub - Justin Hutchings nói rằng, một thành phần quan trọng trong quá trình quét mã của Semmle (giờ là GitHub) là CodeQL, ngôn ngữ truy vấn biểu đồ và kiểm tra mã lỗi. Tính năng này rất hữu ích trong việc bảo mật. Bởi hầu hết các vấn đề bảo mật liên quan đến luồng dữ liệu xấu hoặc sử dụng dữ liệu xấu theo một cách nào đó.
Mặc dù tính năng này đối với GitHub là mới, nhưng các công cụ Semmle đã được sử dụng trong thời gian dài. Đó là lý do GitHub tin rằng chúng sẽ hoạt động hiệu quả khi khởi chạy miễn phí cho các dự án nguồn mở và như một tiện ích bổ sung cho phần đóng, trả tiền dành cho doanh nghiệp của GitHub.
Tuy tính năng quét mã có thể hiệu quả nhất đối với các dự án nhỏ không có đủ thời gian kiểm tra lỗi kỹ lưỡng, thì Hutchings lưu ý rằng, bằng cách đưa tính năng lên đám mây, các nhà phát triển lớn cũng sẽ hưởng lợi từ điều này. "Rất nhiều khách hàng thương mại của chúng tôi tỏ ra hào hứng về việc có thể thực hiện tính năng này ở quy mô lớn trên đám mây", ông cho biết thêm.
Phân tích bảo mật tốn rất nhiều năng lực tính toán vì phải xử lý hàng triệu dòng mã. Các nhà phát triển đều muốn thực hiện điều này một cách nhanh chóng. Việc làm này của Github đã mang tới khả năng đánh giá trên một môi trường đám mây, giúp tính năng này trở nên nhanh hơn so với trước đây.
Ngoài việc quét lỗ hổng bảo mật, GitHub cũng đang bổ sung thêm tùy chọn cho các nhà phát triển thương mại để quét các kho lưu trữ ngoại tuyến và tìm các thông tin bí mật có thể bị lộ lọt (khóa, thông tin đăng nhập,...) dẫn đến xâm nhập mạng và rò rỉ dữ liệu. Vốn trước đây chỉ giới hạn ở các kho lưu trữ công cộng (như AWS hoặc Google Cloud), thì tính năng quét thông tin bí mật giờ đây sẽ có thể thực hiện trên các kho lưu trữ GitHub riêng tư.
Ngoài ra, Hutchings cho biết, đây không chỉ là một tính năng bảo mật mà còn là một tính năng ổn định, vì nó giúp các nhà phát triển thực hiện được các chính sách bảo mật yêu cầu thay đổi khóa định kỳ bằng cách theo dõi và ghi lại các thay đổi. Theo cách này, các nhà phát triển có thể ngăn chặn sự cố ngừng hoạt động có thể xảy ra khi các thay đổi khóa không được báo cáo và xử lý đúng cách.
Nguyễn Anh Tuấn
(Theo Register)
11:00 | 16/04/2020
07:00 | 04/05/2020
14:00 | 22/02/2024
09:00 | 14/04/2020
11:00 | 08/04/2024
Cục An toàn thông tin, Bộ TT&TT vừa công bố cẩm nang một số biện pháp phòng chống, giảm thiểu rủi ro từ tấn công mã hóa tống tiền (ransomware) cho các cơ quan, tổ chức, doanh nghiệp.
16:00 | 02/04/2024
Trong quý I/2024, thông qua hệ thống giám sát an toàn thông tin, Trung tâm Công nghệ thông tin và Giám sát An ninh mạng (Ban Cơ yếu Chính phủ) đã phân tích phát hiện tổng số 32.265 nguy cơ tấn công mạng nhắm vào các mạng công nghệ thông tin trọng yếu, tăng 18,7% so với cùng kỳ năm 2023.
14:00 | 05/03/2024
Công ty Avast sẽ phải trả 16,5 triệu USD và bị cấm bán hoặc cấp phép dữ liệu duyệt web cho quảng cáo như một phần của thỏa thuận với Ủy ban Thương mại Liên bang (FTC) vì đã bán một lượng lớn dữ liệu duyệt web tổng hợp, có thể nhận dạng lại cho các bên thứ ba.
12:00 | 01/02/2024
Tình báo Ukraine tuyên bố đã thực hiện thành công một cuộc tấn công mạng nhằm đánh sập máy chủ của Bộ Quốc phòng Nga.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024